オンラインのファイル共有サービスが内包する問題

4月 02, 2019 セキュリティとコンプライアンス, MOVEit

IT部門は、Dropbox、Google Drive、OneDrive、といったオンラインファイル共有サービスの危険性を全社員にしっかり理解してほしいと願っています。業務上、同僚、顧客、ビジネスパートナーなどとファイルを共有しなければならない様々な状況があり得ますが、IT部門としては、次のような理由で、オンラインのファイル共有サービスの利用を危惧します。

  • 顧客に伝わるべきでない情報が開示されてしまうかもしれない
  • 機密データが競合他社の手に渡ってしまうかもしれない
  • プライバシー遵守規制に違反して会社が制裁金を科されるかもしれない

Word、Excel、PowerPoint、PDFなどのドキュメントを共有すれば、コミュニケーションが円滑になり、ドキュメント改訂の履歴も簡単に追跡できます。共有されたファイルを介して話を進めることで取引が成立しやすくなり、協働作業でプロジェクト完了までの期間が短縮できます(そもそもファイルの共有なしには協働プロジェクトは成立しないでしょう)。オンラインファイル共有サービスに上記のようなリスクがあるとすれば、どのような解決策が考えられるでしょうか?どのようなツールを使用すると、機密文書を保護しながら業務を効率的に遂行することができるのでしょうか?

リスクを正しく理解

最初のステップとしてまず、オンラインのファイル共有サービスを利用することに伴うリスクを理解することが必要でしょう。個人のファイルを送信するにはこのようなツールで十分かもしれませんが、組織が保有する機密データを含むファイルの転送を安全に管理することはできません。Dropbox、Google Drive、OneDrive の暗号化とセキュリティ機能は限られているため、データが漏洩したり、データが破損したり、悪意を持った誰かの手に渡ってしまう危険性があります。

これらのサービスのセキュリティ対策を正しく設定するためには一定のノウハウも必要です。オンライン共有サービスの新しいインスタンスを設定する場合、急いでいるときは特に、必要なステップを見逃してしまうことはありがちです。ソーシャルメディアのアカウントを公開したままにするのがどれほど簡単か考えてみてください。

多くのコンプライアンス規制が、特定ファイルへのアクセス制限や、転送中の暗号化などを規定しています。 一般的なファイル共有サービスはファイル規制に対応できるような安全性確保の機能を備えていないので、HIPAA、PCI DSS、FINRA、SOX、GDPR など、企業が遵守するべきコンプライアンス要件にを満たさない危険があります。

ファイル共有サービスを使用するとき、セキュリティに関して最終的な責任は使用者本人が負うことになります。必要なセキュリティ対策がなければ、オンラインで保存されたデータにハッカーがアクセスしたり検索したりする可能性があります。

オンラインのファイル共有サービスを利用していると、IT部門は個人の転送アクティビティやファイルのアップロードを追跡することができず、送信したファイルに外部のユーザーがアクセスするのを阻止することもできません。また、ファイルに変更が加えられた時期を追跡したり、誰がファイルを閲覧したかを判断することもできませんが、この両方とも、機密情報の保護に関するコンプライアンス規制の重要な要件です。さらに、デバイスが盗まれたり紛失したとき、IT部門はファイル共有サービスに保存されている内容をリモートから消去することはできません。

どのファイルがどのデバイスで同期されているかをIT部門で監視することができないので、データが不適切な第三者に共有されていないかどうか確認することも不可能です。ファイル共有サービスの多くに、顧客のファイルを紛失したり、ファイルをバックアップできなかったりするという問題がありますが、こういった問題はしっかり把握しておくべきです。

問題解決に向けて

エンドユーザーは便利さを優先するため、安全とコントロールを優先したいIT部門との間には葛藤が生じます。このジレンマを、双方が納得する形で解決する必要があります。同僚、顧客、パートナーと効率的に作業するには、信頼性が高く、ユーザーフレンドリーなファイル転送オプションが必要ですが、マネージド・ファイル・トランスファー (MFT) のような、オンラインのファイル共有サービスに代わる安全性の高い手段があれば、このニーズを満たすことができます。

MFTソリューションには、エンドユーザーが優先する使いやすさが備わっています。ITの観点からは、企業全体のすべてのファイル転送アクティビティを1つのシステムに統合して、重要なビジネスプロセスの管理コントロールと可視性が向上させます。集中管理されたアクセスコントロール、ファイルの暗号化、ファイル転送アクティビティの追跡ができ、内部ガバナンスと規制コンプライアンスを徹底できます。

スクリプトを使わなくてもワークフローを自動化できる機能を活用すれば、Dropbox、Google Drive、OneDrive に類似した便利さが得られ、新プロジェクトの展開や新しいエンドユーザーのシステムへの追加が簡単に行えます。エンドユーザー、顧客、パートナーとの間の安全なファイル転送を保証するとともに、システムにアクセスするエンドユーザーがドキュメントの送受信を許可されていることを確認する有効性チェックなども可能です。

今日のMFTソリューションには、Secure Shell (SSH) 機能を含むSSHファイル転送プロトコル (SFTP) など、従来のファイル転送ソリューションにはなかった、重要なセキュリティ機能が追加がされています。ファイルを暗号化し、アップロードやダウンロードプロセス中にファイルが傍受された場合もデータ損失を防ぐことができます。こういったセキュリティ機能を搭載した MFTソリューションは、PCI DSS、HIPAA、SOX、FINRA、GDPR などの規制に対するコンプライアンスを満たします。

安全な代替策

Dropbox、Google One、OneDrive などのオンラインファイル共有サービスには、会社の機密データが漏洩する危険があります。会社にとって深刻な問題を引き起こす可能性があり、管理者は責任を問われかねません。

安全な代替策として、プログレスの MOVEit などのマネージド・ファイル・トランスファー・ソリューションを検討してください。IT部門が設定するのは簡単で、社員は安心して顧客やパートナーとファイルを共有して協業できます。

MOVEit マネージド・ファイル・トランスファー (MFT) ソフトウェアは、ファイル転送アクティビティをすべて可視化し、コントロールするために、世界中の多くの組織によって利用されています。中核となるビジネスプロセスの信頼性を保ち、機密性の高いデータを、パートナー、顧客、ユーザー、およびシステム間で、規制を遵守しつつセキュアに転送することが可能になります。

Kevin Conklin

Kevin joined Ipswitch in 2015 and leads the company’s product and content marketing practices. He is widely recognized for his product marketing accomplishments in information technologies. He is a serial startup executive having played instrumental roles in the success of such companies as for Prelert, VKernel, Mazu Networks and Smarts, Inc. and has been instrumental to the success of these IT management technology companies. Kevin is also the co-host of the PICNIC Podcast live show (https://picnic-podcast.com/), sharing experiences and best practices, providing a voice of expertise, and educating IT professionals with the latest technology challenges.

Read next マネージド・ファイル・トランスファーとは?