ここ2〜3年で所謂PPAP(パスワード付きZIPファイルの添付とメールでの解凍パスワード送付)を禁止する企業が増えてきました。理由は簡単でサーバーやUTM等でのウイルスチェックが出来ないので「危険」と判断されたためです。と同時に、PPAP自体にセキュリティ的な意味がないという理解が進んできたことも一因ではあります。
とは言え、PPAPの代替になるものを探さないと他社とのファイル共有が出来なくなってしまいます。そこで出てきたのが「クラウドストレージを使ったファイル共有」なのですが、これはこれで実はセキュリティ的にハードルが高めで、実際に情報漏洩事故も起こっている手段だったりします。それ故にセキュリティの専門家の間でも推奨する人と、しない人に二分される代替手段になっています。
クラウドストレージを使ったファイル共有の便利な所は、共有URLを発行して、そのURLを送るだけで簡単に安全に共有出来る所なのです。が、実は共有URLの発行だけだと決して安全ではなく、場合によっては不特定多数にアクセスされてしまう可能性があるんですね。なのに安全に共有出来ると勘違いされているが故に情報漏洩事故に繋がるわけなのです。実際には共有URLに接続出来るユーザーを設定して、そのユーザーしか接続出来ないようにしなくてはなりません。ここが意外と一筋縄ではいかないクラウドストレージもあるので私自身としては「とてもオススメ出来ないな」という方法なのです。まあ、そこら辺、簡単に設定出来るクラウドストレージもあるようなので探してみてはいかがでしょうか?大手企業だとBoxを使われている例が多いように感じます。
さて、サラッと流してしまいましたが、おさらいです。
クラウドストレージを使ったファイル共有を行う際には、共有URLの発行と同時にアクセス権の設定を適切に行いましょう。アクセス権の設定を行わないと共有URLを知っている者全員がアクセス可能になってしまいます。その場合、メールを誤送信してしまうと受け取った側が本来共有すべき人ではないにも関わらずファイルにアクセス出来てしまうことになり、結果として情報漏洩事故になってしまいます。この時、アクセス権の設定を適切に行っていれば情報漏洩事故を防ぐことが出来ます。面倒ではありますが、この一手間を掛けることでセキュリティ的に天と地ほどの差が生じますので大変重要なポイントになります。ましてや、共有する情報の中に個人情報が大量に含まれている時に情報漏洩事故を起こしてしまうと、その対応に多くの時間と手間、そして費用がかかります。そのことを考えると、アクセス権設定を蔑ろにしてはいけないことが理解出来るかと思います。
ここら辺の問題を簡単に解決するファイル共有ツールも販売されていますので、お金で解決出来る企業様は、そのようなツールを導入するのも手ではあります。事故を起こしたときの事後対応費用を考えると、そのようなツールを使う方が安価で済む場合も少なくありません。