「PPAP対策は、共有リンクさえ使えばよい」と思っていませんか?

皆さんの会社では、クラウドストレージサービスを使っていますか。
クラウドストレージサービスの中でもほぼ標準機能となって来ているのが、「共有リンク」の生成機能です。

1.「共有リンク」の利用で、PPAPより情報盗聴リスクは下がるのか。

2020年11月、平井卓也デジタル改革担当相が、中央省庁の職員がファイルをメールで送信する際に利用する、パスワード付きzipファイルを廃止する方針を表明しました。PPAP、つまり、「文書データをメールに添付する際、zipファイルに加工して暗号化し、そのパスワードを別メールで同じ相手に送信すること」は、同じシステムを使ってパスワードを送信することで、「セキュリティ対策として役にたたず、手間だけかかる無用の長物だ。」と指摘されました。

そこで脚光を浴びたのが、「共有リンク」です。「共有リンク」とは、特定のフォルダやファイルを参照するためのURLです。通信経路の盗聴を想定した場合は、このリンクアドレスさえ盗聴できれば、送信データの中身が読めてしまいます。そこで、サービス提供側も、「このパスワードを入れないと共有リンク先を開けられない」機能の提供を始めています。しかし、共有リンクを連絡した後のメールで、パスワードを送る行為はよく見かけます。こうなると、PPAPより手間は少なくなるかも知れませんが、情報の盗聴リスクは変わらないということになります。

すなわち、当たり前ですが、「共有リンク」を使っても、そのパスワードは、別ルートで相手に伝えることが必要なのです。

2.「共有リンク」による情報漏えいリスク

クラウドストレージに会社の「外部非公開のデータ」も保管している場合を想定します」。

いくらアクセス権管理をしていても、そのフォルダーにアクセスできる者に、「共有リンクアドレス」作成権限があったとすると、どうでしょう。

「共有リンクアドレス」生成のオプションとして、「パスワードの利用」や「利用期間の限定」、「ダウンロード回数」の制限があったとしても、アクセス者に悪意があった場合は、「共有リンクアドレス」を生成することができ、会社の重要なデータを外部に漏えいすることが可能となってしまいます。

そこで必要になるのは、予め外部への情報提供を想定していないフォルダでは、「共有リンク」生成をできないようにすることです。これを「共有リンク生成禁止機能」と称します。

一般のクラウドストレージサービスの価格体系は、①エントリータイプ、②ビジネスタイプ、③拡張タイプのような3段階程度になっており、①エントリータイプの殆どで、この「共有リンク生成禁止機能」はついていません。かろうじて商品によっては、②ビジネスタイプ、③拡張タイプに「共有リンク生成禁止機能」があるに過ぎません。

皆さんは、ご存知でしたでしょうか。情報漏えい防止の観点からいえば、①エントリータイプの利用は、リスクが極めて高いと言えます。

いかがですか。あなたの会社でも見直してみませんか。

副委員長 溝上