企業で安全に社外ファイル共有する方法とは?
リスクや注意点を解説
取引先やお客様など社外の人にファイルやデータを共有する際、どのような方法を使っていますか?
打ち合わせ資料や画像・映像データの共有はなくてはならない業務の一つです。しかし一歩間違えると誤送信や情報漏洩などのリスクを伴います。
株式会社東京商工リサーチが2023年に実施した個人情報漏えい・紛失事故調査によると、2023年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は175社(前年比6.0%)でした。漏洩した個人情報は前年(592万7,057人分)の約7倍の4,090万8,718人分(同590.2%増)と大幅に増加し、事故件数は2012年以降の12年間で3年連続で最多件数を更新しています。※
このような事故はどの企業でも発生する可能性があります。そして一度起こってしまうと損害賠償問題や企業イメージの著しい低下など多くの損失が発生します。
今回は、一般的なファイル共有方法とその問題点を改めて確認し、その対策ついてご紹介します。
※出典:株式会社東京商工リサーチ「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」ファイル共有とは?
ファイル共有とは、文書や画像、動画、音楽などのファイルをPCやスマートフォン上で他者と共有することです。取引先への見積書や商品・サービスの紹介資料送付など、あらゆる業種の様々な業務で欠かせない情報共有手段の一つです。
社外とファイル共有する4つの方法
社外にファイルを共有する方法として代表的なものは以下の通りです。1つずつご紹介します。
- パスワード付きZIPファイルのメールで送る(PPAP)
- 記録媒体(USBメモリなど)で渡す
- ファイル転送サービスを利用する
- クラウドストレージを利用する
パスワード付きZIPファイルのメールで送る(PPAP)
取引先やお客様など社外の人との連絡手段として、メールは一般的な方法です。そのためやり取りのついでに、メールにファイルを添付する方法は手軽な方法と言えます。しかし、容量制限があるため大容量ファイルの共有には不向きです。またセキュリティのリスクが高く、機密性の高いファイルの共有には注意が必要です。
- 扱いが簡単で普及している
- 容量制限で送受信が無効になる可能性がある
- 悪意のある第三者にメールやパスワードを盗み取られるリスクがある
- プレビューのみでウイルス感染する場合がある
- zip化することでウイルスチェックの対象にならない
- 添付ファイル付きのメールを受け取らない企業が増えていて送れない場合が
記録媒体(USBメモリなど)で渡す
USBメモリやSDカード、CD、DVDなどの記録媒体にファイルデータを入れて物理的に発送するという方法もあります。「インターネットは不安。昔からこのやり方を使っている」という方もいるかもしれません。手渡しのため確実のように思われますが、紛失の可能性がある上、送付先に届くのに時間がかかります。
- 企業によっては使い慣れた方法である
- インターネット上で盗聴されるリスクがない
- 手元に届くまでに時間がかかる
- その都度郵送費がかかる
- 紛失による情報漏洩のリスクがある
- 記録媒体の管理が必要
ファイル転送サービスを利用する
ファイル共有サービスを使った共有とはインターネット上に一時的にファイルを保管してファイルの授受を行う方法です。サービス上に送付したいファイルをアップロードすると、ダウンロード用のURLが発行されます。パスワードを付けることも可能です。無料と有料のサービスがあります。
- 大容量ファイルも共有可能
- サーバー管理が不要• セキュリティ機能がある※
- アクセスログを取得できる(送達確認、アクセス管理)※
- 操作ログを取得できる(送信ログ、管理者の管理)※
- オフラインで使用できない
- ファイル共有のURLは一時的
- 突然のサービス終了もあり得る
- 無料サービスはログが残らない
クラウドストレージを利用する
クラウドストレージサービスを使った共有とは、インターネット上のファイルを保存先(ストレージ)を共有する方法です。共有したファイルをインターネット上で閲覧するだけでなく、編集も可能です。無料と有料のサービスがあります。
- 大容量ファイルも共有可能
- サーバー管理が不要• セキュリティ機能がある※
- アクセスログを取得できる※
- 共有したファイルで共同作業ができる
- オフラインで使用できない
- アカウントの作成が必要
- 突然のサービス終了もあり得る
- 共有権限やフォルダーごとの設定管理の手間がかかる
社外ファイル共有時に発生しやすいリスク
社外へのファイル共有には情報漏洩のリスクが伴います。より安全な運用のため、どのようなリスクがあるかを事前に把握して対策を講じましょう。
リスク① 情報漏洩
マルウェアをはじめとしたウイルスによる情報漏洩事故は年々増加しています。ウイルス対策ソフトはZIPファイルの中身をウイルスチェックできません。そのためマルウェアが潜むファイルが含まれていても検知できず、ZIPファイルを回答してしまうことで端末や社内ネットワークに感染が拡がり情報漏洩の事故を引き起こします。対策としては、ZIPファイルの送受信を行わない。ウイルスチェック済のファイルを送付、共有することが有効です。また、ZIPファイルをメールに添付して送付し、パスワードを別のメールで送る方法(PPAP)は広く浸透し習慣化しています。それを禁止するには従業員にそのリスクを教育することやファイル送付、共有の代替方法を用意する必要があります。
リスク② 不正アクセス
外部不正
標的型攻撃※のように悪意のある第三者により不正にアクセスされる可能性があります。また、パスワードのリスト攻撃やフィッシング、盗聴などで不正に取得したアカウントを使用したり、設定やセキュリティの不備を狙ったりして外部から侵入されるリスクもあります。対策としては、IPアドレス制限やデバイス認証、二段階認証によって不正ログインを制御することが効果的です。また、パスワードを使いまわさない、共有リンクの有効期限を設定してファイルにアクセスできる環境を放置しないことなどの対策も挙げられます。年々巧妙化する手口について社内で情報発信をし、日ごろから従業員のセキュリティ意識やリテラシー向上に努めることも重要です。
内部不正
従業員によって不正にファイルの書き換え、改ざんされるリスクも想定しておく必要があります。また、従業員が個人の判断で無料サービスやアプリを使用することも情報漏洩のリスクを高めることになります。対策としては、アクセス権限を設定してファイルやフォルダーにアクセスできる従業員を制限する、常時バックアップをとるように設定する、登録されていない記憶端末の接続を禁止するなどが挙げられます。また操作ログ取得をしていることを公表して不正を抑止する環境の整備も有効な対策です。
リスク③ 誤操作
悪意のあり/なしに関わらず、誤ってファイルを上書き、削除、保存忘れをしてしまう。添付ファイルや共有リンクを送付する際、メールアドレスや添付ファイル・URLを間違えるなど、操作ミスのリスクは常に存在します。対策としては、内部不正への対策と同じようにアクセス権限やバックアップの設定に加え、第三者の承認(ダブルチェック)によって間違いを見つけられる体制を整えることも有効です。
社外ファイル共有のリスクへの対策
このようなリスクを回避して、安全に社外へのファイル共有を行うために以下のような対策を行いましょう。
社内ルールを作成する
まずは明確なルールを設けて従業員への周知を徹底することから始めます。「社外にファイルを持ち出してはいけない」「無料サービスを無断で使用してはいけない」「社用端末をフリーWi-Fiに接続してはいけない」など、ファイル共有やウイルス対策に関するルールを定めましょう。また社外に重要なファイルを送付する際はダブルチェックをするなど、業務体制を整えることも大切です。
従業員のITリテラシーを高める
従業員のITリテラシーを向上させる取り組みも欠かせません。一人ひとりがセキュリティリスクの高い行動は何かを知り、情報を収集して適切に選択できるようなる必要があります。サイバー攻撃は日々巧妙化しています。1度学んでそれきりにせず、従業員のセキュリティ意識を上げるための定期チェックを行いましょう。セキュリティ事故の発生を防ぐための運用ルールや、万が一事故が発生した場合の社内ルールを確認することが大切です。また、情報システム部門が最新のセキュリティ脅威に関するニュースやウイルス対策ソフトのバージョンアップについて案内することで日ごろから意識を高める事も効果的です。
クラウドストレージを活用する
前述2つのような基本的なルールや意識改革を行ったら、クラウドストレージを活用するのがおすすめです。いくらルールを設けたり、教育を行っても、人的ミスは起こってしまいます。セキュリティリスクを低減させるためにはクラウドストレージのようなファイル共有の専用サービス導入が効果的です。クラウドストレージなら、ファイルへのアクセス権限付与やIPアドレス制限、ログ監視など不正操作をさせない環境を整えることができます。また、従業員が迷わず、簡単に操作できるクラウドストレージサービスを選ぶことで、自然と運用ルールは徹底されます。
社外ファイル共有方法を選ぶ2つのチェックポイント
ファイル共有サービスを選ぶ際、チェックするべきポイントをご紹介します。自社の業務内容やポリシーに照らし合わせて選定しましょう。
セキュリティ面のチェックポイント
法人向けサービスであれば、基本的なセキュリティ対策がとられています。アクセス権設定の細かさや、ログの収集範囲や保存期間の長さなどはサービスによって異なります。企業によって重要視するセキュリティポイントを洗い出し、自社のポリシーに併せて比較検討しましょう。
| データの暗号化、データセンターの国内運用 | 不正アクセスやデータ漏洩のリスクを軽減するために重要です。データが送信、保存時に暗号化されるか確認しましょう。また、カントリーリスク回避のためにデータセンターが日本国内で運用されているか確認するのもおすすめです。 |
|---|---|
| 認証機能 | 正当なユーザーであることを確認するための仕組みです。ユーザーのアクセス権を管理し、機密データへの不正アクセスを防ぐ機能を有しているか確認しましょう。 |
| セキュリティイベントの監視とログ管理 | 悪意のある動作や疑わしい動作を検出し、万一の場合原因の早期究明に役立ちます。ユーザーのアクセスログはもちろん、システム管理者の操作ログも取得できるか、またログの保存期間はどのくらいかも確認しましょう。 |
| 脅威対策とセキュリティアップデート | 提供しているサーバーがマルウェア検出や侵入検知システムを有し、定期的なセキュリティパッチを適用しているかを確認しましょう。セキュリティ脆弱性への対応や最新のセキュリティ対策が行われてることが重要です。 |
運用面のチェックポイント
実際の業務に照らし合わせて「どの部署で」「何に」「どのくらい」使うのか、要件を洗い出しましょう。また部署内や社内でITリテラシーにばらつきがあります。誰でも簡単に使いこなせることも重要です。そしてそれらの要件を満たす機能や容量と費用のバランスも忘れずに確認しましょう。
| ゲストユーザーの利用可否 | 取引先やお客様に一時的にファイルを送る場合、同じサービスのアカウントIDを持っていないゲストユーザーでもファイルのアップロードや閲覧、ダウンロードができるか確認しましょう。 |
|---|---|
| 対応端末 | 部署によっては、外出中やPCが一人1台ない環境でも利用するシーンも考えられます。スマートフォンやタブレットでもファイルの送受信が可能かどうか確認しましょう。 |
| ファイルの種類とサイズ | 数十GBから数TBの容量を提供するサービスが一般的です。共有したいファイルの種類やサイズ、利用頻度や一度に共有するファイルの量など、自社の要件や業務状況を確認してサービスと照らし合わせましょう。 |
| ストレージ容量と拡張性 | 提供されるストレージ容量や拡張性の制限を確認しましょう。一部署で導入して、その後他部署や社内全体に展開することになった場合、自社の運用に対してストレージ容量が十分かどうかは確認しておく必要があります。 |
| ユーザーインターフェイス(使いやすさ) | 操作につまづいてしまうと、せっかく導入しても活用できません。ITリテラシーは社内でもばらつきがあるはずです。誰もが使えるように、無料トライアルを使ったり、デモ画面を見たりして、操作が直感的でわかりやすいかどうか確認しましょう。 |
社外とのファイル共有は、目的に合わせて安全な方法を選ぼう
今回は社外にファイルを共有する方法4つの紹介と、ファイル共有におけるリスクとその対策についてご紹介しました。社外とのファイル共有は、業務内容や目的に合わせて安全な方法を選択しましょう。
インターコムの法人向けクラウドストレージ「Final Document」は安全かつ簡単に大容量ファイルを社内外に共有することが可能です。リンクへのアクセス通知を設定することで相手側がファイルを受け取ったかを確認できます。
安全に社外ファイル共有したいとお考えなら、社内ルールの構築や教育に加えて、「Final Document」の導入をご検討ください。
