「クラウド設定ミス」で情報漏えい…どう防ぐ? 「厳しすぎる」ルール設定は生産性低下の懸念も

ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小
HENNGE Product Planning & Research Division Product Marketing Management Section 谷岡なつみ氏
複数のSaaSを業務で活用する企業が増えている。他方で、リスク回避を意識するあまり、ルールを増やしてSaaSの利用を制限する企業も少なくない。せっかくの便利なツールも使いこなせないと、生産性を向上させるどころか逆に低下させかねない。生産性と安全性を両立させるためには、どのような対策を取ればよいのか。クラウドセキュリティサービス「HENNGE One」を提供するHENNGEの担当者に聞いた。

「ファイルが公開状態で放置」に気づかないリスク

ビジネスにおけるクラウド化が進み、ソフトウェアをクラウド上で提供するSaaSもすっかり普及した。それに伴って起きているのが、コミュニケーションツールの多様化だ。社内や取引先とのやり取りにおいて、メールに加えチャットやオンラインストレージを活用している企業も多いだろう。

しかし、管理者目線からすると、社内外のやり取りがさまざまなツールで行われることで、管理が複雑になってきたといえる。「ガバナンスを利かせることが難しくなってきている」と指摘するのは、HENNGEの谷岡なつみ氏だ。

「これまで、ビジネスでのコミュニケーションはメールが中心でした。多くの企業はメールセキュリティツールなどを導入し、ガバナンスを利かせています。しかし、チャットやオンラインストレージのような比較的新しいサービスに対しては、適切なルール作成のベストプラクティスがあまり存在しないこともあり、情報漏えいのリスク対策が十分にできていません」

HENNGEの谷岡なつみ氏
HENNGE
Product Planning & Research Division
Product Marketing Management Section 谷岡 なつみ

このリスクは、サイバー攻撃のような外部からの脅威や内部不正のような悪意によるものに限らない。設定ミスなどの「うっかり」を放置してしまうおそれがあるのが問題だという。

「よくあるのが、オンラインストレージの共有権限を、誰でも見られる状態のまま放置してしまうことです。データが何年も公開状態になっていた例や、個人情報漏えいの要因になった例もあります」

オンラインストレージの共有権限をいったん設定してしまうと、後から解除しようとはなかなか考えにくいかもしれない。日常業務に追われていればなおさらだろう。同じことは、近年増えている複数社との協業プロジェクトでも起こりやすい。

「コラボレーションツールを活用して他社とデータを共有することはよくあると思います。問題は、プロジェクト終了後も共有設定が解除されないケースが多いことです。共有リンクを知っていれば誰でもアクセスできる状態になっているのに、管理者がそれを把握できていない、といった事例が増えています」

SaaSの利便性を生かしながらセキュリティリスクも担保

もちろん、こうした事態を危惧して対策を取っている企業もある。ところが、その対策は業務の利便性を損なうものが目立つと谷岡氏は話す。

「多いのが、チャットやオンラインストレージは社内向けツールとして位置づけ、外部との共有を全面禁止にする企業です。『チャットやオンラインストレージを活用すればスピーディーに業務を進められるのに』という現場からの声はあるものの、リスクの回避を優先し許可していないという話をよく耳にします。禁止にはしなくても、1回共有するのに毎回上長の承認が必要というルールを設けている企業もあります」

リスクの回避は確かに大切だが、そのために業務効率が下がるのは避けたいもの。せっかく便利なツールがあるのだから、どうやったら安全に使いこなせるかを検討するべきだろう。谷岡氏も、「生産性と安全性のバランスをいかに取るかが、SaaS時代のセキュリティ課題です」と提言する。

「そのために重要なのは、リスクを可視化することです。ファイルなどのデータやアクションを把握しておけば、何かあっても後から確認できますし、起こりうるリスクの予防策も講じることができます。HENNGEでは、この考え方を『Track and Trust』と表現しています」

データやアクションをTrack(追跡)するだけでなく、同時にTrust(信頼)をするのがこの考え方のポイント。リスク回避のために制限を設けるのではなく、信頼して使用させたうえでリスクをコントロールする。これを実現するソリューションとしてHENNGEが開発し、2024年7月にリリースした機能が「File DLP」だ。

「チャットやオンラインストレージといった各種コミュニケーションツールに点在するファイルの共有状況を可視化します。例えば『公開から5日経過したファイルの公開を停止』『外部共有から30日経過した外部共有を停止』といったルールを設定しておけば、自動的にファイル共有を停止させることができます」

メールだけでなく、ファイルの共有をTrack and Trustする
File DLPは、国内2700社超が利用するクラウドセキュリティサービス「HENNGE One」の情報漏えい対策「DLP Edition」に含まれる新機能。DLP Editionではメールセキュリティ機能も提供しており、メールとクラウドによるファイル共有をともに「Track and Trust」で行えるようにする

わかりやすい画面から「うっかり」の発生を防ぐ

File DLPが社内のファイルの共有状況をリスト化し、共有権限を自動的に管理・制御する。システムとしてファイル共有管理を行うことで、人によるルール運用ではカバーしきれなかった「うっかり」を潰すことができるわけだ。すでにそういった事例も報告されていると谷岡氏は明かす。

「あるお客様にベータ版でFile DLPを試用提供したところ、思いもよらないところで外部共有されていたファイルが発見できたという声をいただいています。かなりきっちりとルールを設定して運用されていたそうですが、そもそもクラウドストレージはどんなファイルが置かれているか管理者側で把握しにくいこともあって気づかなかったようです」

クラウドストレージは、上位フォルダーの共有設定に下位フォルダーが依存するという構造になっているため、非公開のつもりでフォルダーに入れていたものがすべて公開になっていたという例もあるという。

File DLPではファイルの共有状況を可視化したうえで、リスクがある場合には管理者が画面を操作してファイル共有を停止させることも可能。ファイル共有の「危険な状態」を見逃さず、ガバナンスを利かせるのに役立てられる。

ファイルの情報漏えい対策「File DLP」
File DLPでは、ファイルごとに共有状況とセキュリティリスクを可視化。危険度が高いものは設定したルールに沿って自動で共有を停止し、情報漏えいリスクの低減を図ることができる

管理のしやすさの点では、UIへのこだわりも見逃せない。谷岡氏は次のように説明する。

「HENNGE Oneは、『筋道を立てる』『成功に導く』『ちょうどいい』の3つのデザイン原則にのっとってUI・UXや機能をデザインしています。使いにくいUIは、日常業務のなかで『うっかり』した設定ミスを増やしてしまうことにつながります。

File DLPは管理者側の設定や操作で完結する作りになっていますので、新たなワークフローを構築したり、ユーザーである従業員に新たな負担をかけたりする必要もありません。ルール設定も柔軟にできますので、生産性と安全性のバランスを模索している企業様にぜひお使いいただきたいと思っています」

SaaSの設定ミス防止をめぐっては、総務省が策定した「クラウドサービス利用・提供における適切な設定のためのガイドライン」でもミスの発生しにくいサービスの選択が推奨されている。「テクノロジーの解放」というビジョンの下に開発され、複雑なテクノロジーを翻訳・整理してストレスフリーなユーザー体験の提供を目指すHENNGE Oneは、その点でも有力な選択肢だといえるのではないだろうか。

>HENNGE Oneのファイル情報漏えい対策「File DLP」の詳細はこちら