皆さんは Google ドライブやドロップボックス等、普段オンラインストレージを利用していますか。私はファイルの共有や保管用途に Google ドライブを利用しています。 Google アカウントがあれば、誰でも15GBの容量を無料で利用することができるため、私以外にも多くの方が Google ドライブを利用しているのではないでしょうか。
使える容量も多い上にUIもシンプルで使いやすいため、仕事でも利用したくなりますが、無料の Google ドライブをビジネス用途に使うことは大きなリスクを伴います。今回のコラムでは、ビジネス用途に無料の Google ドライブを使うべきでない理由ついてご紹介します。
福岡県で発生したデータ漏洩事故
先日、 新型コロナウイルス感染者の個人情報がインターネット上で外部から閲覧できる状態になっていたことが発覚し、福岡県が謝罪を行いました。Google ドライブ上のデータが漏洩したということで、 Google のセキュリティ問題と勘違いする方もいるかもしれないですが、これはセキュリティの認識の甘さが招いたヒューマンエラーが原因です。
先ほど、考えられる原因は二つあると説明しましたが、おそらく今回の事故は無料の Google ドライブを利用していたことが原因なのではないでしょうか(あくまで推測であり特定された事実ではありません)。理由としては、ビジネス版を利用していた場合ユーザーのセキュリティ設定についての検討が発生するはずで、扱う情報の機密性を考えると、社外への共有やリンク公開を許可するとは思えないからです。
Google ドライブのビジネス版ではユーザーに対して社外共有のセキュリティポリシーを設定することができ、多くの企業ではユーザーに対してセキュリティ制限をかけることが一般的です(中には利便性を重視して社外共有を許可する企業もあるかもしれないですが、非常にリスクの高い運用になります)。今回の事故はビジネス版の Google ドライブを採用した上で正しいセキュリティ設定をかけていれば発生しなかった事故であると言えます。
無料の Google ドライブを企業で使うべきではない4つの理由
ここまで福岡県の事例について紹介を行いましたが、無料の Google ドライブをビジネス用途で利用している場合、同様の事故が発生する危険性は誰にでもあります。本章では、福岡県の事例も踏まえて、無料の Google ドライブを企業で使うべきではない理由を説明します。
理由① そもそも前提として人間はミスを犯す危険性がある
私に限らず、おそらくどんな人でもミスを犯したことがあるのではないでしょうか。ITツールの世界でいえば、文字の打ち間違えやメールの誤送信等、様々な操作ミスが世の中で発生しています。無料の Google ドライブではファイルの共有先の指定はユーザーの操作に委ねられています。「私はミスを犯したことがない」という方も中にはいるかもしれませんが、企業で使うということは数十・数百、もしくは数千万人の規模で使うケースもあるのです。人間が操作ミスをしないことを前提に無料の Google ドライブを利用することは非常に危険です。
理由② Google ドライブの操作性が高すぎる
利用したことがある方はご存知だと思いますが、 Google ドライブは非常にUIの操作性が高いサービスです。そのため、この操作性の高さによってミスが発生する危険性があります。例えば、宛先のメールアドレスを入力する場合、瞬時にサジェスト機能が働くため、簡単に宛先を選択することができますが、この操作性の高さは簡易なミスを起こすことがあります。実は私も以前「氏名を見て宛先を選択したら、実は全然違う取引先のユーザーだった」ということがありました。宛先の候補が多い場合、このような問題が発生する危険性があります。
福岡県の漏洩事故もそうですが、操作ミスをしたユーザーはファイル共有時点では「操作ミスをした」という認識がありません。無料の Google ドライブには共有ミスを防ぐ機構がないため、当事者がデータ漏洩に気づくまで、この状態が続いてしまいます。もし、悪意のあるユーザーに見つかってしまった場合は、内容をコピーされ、さらに拡散されてしまう危険性もあります。
ビジネス版の Google ドライブを利用すればヒューマンエラーを防ぐことができる
今回紹介した4つの理由は全てヒューマンエラーが起因する問題です。 しかし、 Google ドライブのビジネス版である Google Workspace を利用すれば、今回紹介した4つの問題を防ぐことができるため、企業は安全なファイル共有を実現することができます。
管理者は Google ドライブの利用者に対してセキュリティ設定を強制することができる
Google Workspace では管理者が組織に対してセキュリティポリシーを設定することができます。組織というのは、一人以上のユーザーが所属するグループ(例:部署)を指し、 Google Workspace の管理者が定義することができます。このセキュリティポリシーは組織に所属する全てのユーザーに対して、強制的に適用することができます。
ただ、Google ドライブのセキュリティ設定で社外共有を禁止に設定し、適切な代替策を提示しない場合、次はシャドーITの問題が発生します。ユーザーは利便性を求めて、情報システム局が管轄外のサービスを利用し始める危険性があります。フリーのファイル共有サービスがその最たる例です。そのため、 Google ドライブで社外共有を禁止にする場合、代替策もセットで考えなければ、新たなリスクが発生してしまいます。
セキュリティ設定を保持した状態で社外共有することができる Cmosy
Google ドライブのセキュリティ設定はデータ漏洩防止における最後の砦です。このセキュリティ設定を保持した状態でファイルを社内外に限定的に共有することができるサービスに「Cmosy」があります。Cmosyは吉積情報株式会社が提供するファイル共有サービスで、 このCmosyを利用すれば、企業は Google ドライブのセキュリティ設定と社外とのファイル共有を両立することができます。
グループ会社の吉積情報株式会社では Google ドライブ 関連のオンラインセミナーを開催中です! 「Google ドライブの最適な運用方法」や「安全に利活用するための拡張機能」等、Google Workspaceの一歩進んだ活用を徹底解説します! Google ドライブに関することでお悩みがある方はぜひご参加ください。