こんにちは、クラウドエース編集部です。

皆さんは Google ドライブやドロップボックス等、普段オンラインストレージを利用していますか。私はファイルの共有や保管用途に Google ドライブを利用しています。 Google アカウントがあれば、誰でも15GBの容量を無料で利用することができるため、私以外にも多くの方が Google ドライブを利用しているのではないでしょうか。

使える容量も多い上にUIもシンプルで使いやすいため、仕事でも利用したくなりますが、無料の Google ドライブをビジネス用途に使うことは大きなリスクを伴います。今回のコラムでは、ビジネス用途に無料の Google ドライブを使うべきでない理由ついてご紹介します。

福岡県で発生したデータ漏洩事故

先日、 新型コロナウイルス感染者の個人情報がインターネット上で外部から閲覧できる状態になっていたことが発覚し、福岡県が謝罪を行いました。Google ドライブ上のデータが漏洩したということで、 Google のセキュリティ問題と勘違いする方もいるかもしれないですが、これはセキュリティの認識の甘さが招いたヒューマンエラーが原因です。

事故の原因はセキュリティ認識の甘さ

Webで本事故の詳細を調べてみると、ファイルのセキュリティが「リンクを知っている全員」になっていたことが原因との記事を見つけました。この内容から、今回の事故の原因は以下2つの内のどちらかであると推測できます。

  • 無料の Google ドライブを利用していた
  • 有償版の Google ドライブを利用していたが、社外共有に対するセキュリティ設定を行っていなかった

おそらく、どちらかが原因だと思いますが、この事故の原因をファイルの運用者に押し付けることは問題の根本的な解決には繋がりません。それは、人間がミスを犯す生き物だからです。今回の漏洩事故の原因は、この運用が発生する状況を招いてしまった組織の問題です。

ビジネス版を利用していれば事故が発生しなかった理由

先ほど、考えられる原因は二つあると説明しましたが、おそらく今回の事故は無料の Google ドライブを利用していたことが原因なのではないでしょうか(あくまで推測であり特定された事実ではありません)。理由としては、ビジネス版を利用していた場合ユーザーのセキュリティ設定についての検討が発生するはずで、扱う情報の機密性を考えると、社外への共有やリンク公開を許可するとは思えないからです。

Google ドライブのビジネス版ではユーザーに対して社外共有のセキュリティポリシーを設定することができ、多くの企業ではユーザーに対してセキュリティ制限をかけることが一般的です(中には利便性を重視して社外共有を許可する企業もあるかもしれないですが、非常にリスクの高い運用になります)。今回の事故はビジネス版の Google ドライブを採用した上で正しいセキュリティ設定をかけていれば発生しなかった事故であると言えます。

無料の Google ドライブを企業で使うべきではない4つの理由

ここまで福岡県の事例について紹介を行いましたが、無料の Google ドライブをビジネス用途で利用している場合、同様の事故が発生する危険性は誰にでもあります。本章では、福岡県の事例も踏まえて、無料の Google ドライブを企業で使うべきではない理由を説明します。

理由① そもそも前提として人間はミスを犯す危険性がある

私に限らず、おそらくどんな人でもミスを犯したことがあるのではないでしょうか。ITツールの世界でいえば、文字の打ち間違えやメールの誤送信等、様々な操作ミスが世の中で発生しています。無料の Google ドライブではファイルの共有先の指定はユーザーの操作に委ねられています。「私はミスを犯したことがない」という方も中にはいるかもしれませんが、企業で使うということは数十・数百、もしくは数千万人の規模で使うケースもあるのです。人間が操作ミスをしないことを前提に無料の Google ドライブを利用することは非常に危険です。

理由② Google ドライブの操作性が高すぎる

利用したことがある方はご存知だと思いますが、 Google ドライブは非常にUIの操作性が高いサービスです。そのため、この操作性の高さによってミスが発生する危険性があります。例えば、宛先のメールアドレスを入力する場合、瞬時にサジェスト機能が働くため、簡単に宛先を選択することができますが、この操作性の高さは簡易なミスを起こすことがあります。実は私も以前「氏名を見て宛先を選択したら、実は全然違う取引先のユーザーだった」ということがありました。宛先の候補が多い場合、このような問題が発生する危険性があります。

理由③ 共有先ユーザーが操作ミスを起こす危険性がある

ファイル共有時の共有設定で「編集者は権限を変更して共有できます」を許可する場合、編集権を与えたユーザーによる操作ミスによって、ファイルのセキュリティ権限が上書きされる危険性があります。これにより、リンクを知っている誰でもファイルにアクセスできる状態に陥ってしまう危険性があります。

理由④ 共有設定のミスに気づかないまま放置してしまう危険性がある

福岡県の漏洩事故もそうですが、操作ミスをしたユーザーはファイル共有時点では「操作ミスをした」という認識がありません。無料の Google ドライブには共有ミスを防ぐ機構がないため、当事者がデータ漏洩に気づくまで、この状態が続いてしまいます。もし、悪意のあるユーザーに見つかってしまった場合は、内容をコピーされ、さらに拡散されてしまう危険性もあります。

ビジネス版の Google ドライブを利用すればヒューマンエラーを防ぐことができる

今回紹介した4つの理由は全てヒューマンエラーが起因する問題です。 しかし、 Google ドライブのビジネス版である Google Workspace を利用すれば、今回紹介した4つの問題を防ぐことができるため、企業は安全なファイル共有を実現することができます。

管理者は Google ドライブの利用者に対してセキュリティ設定を強制することができる

Google Workspace では管理者が組織に対してセキュリティポリシーを設定することができます。組織というのは、一人以上のユーザーが所属するグループ(例:部署)を指し、 Google Workspace の管理者が定義することができます。このセキュリティポリシーは組織に所属する全てのユーザーに対して、強制的に適用することができます。

ユーザーの操作ミスを未然に防ぐことができる

この設定を利用すれば、ユーザーはファイルを意図しない宛先に社外共有することや、インターネット上に誤ってファイルを公開することができなくなります。人間によって発生する可能性があるミスは全てこのセキュリティ設定によって未然に防ぐことができます。

Cmosyで社外のファイル共有を安全に行う

ただ、Google ドライブのセキュリティ設定で社外共有を禁止に設定し、適切な代替策を提示しない場合、次はシャドーITの問題が発生します。ユーザーは利便性を求めて、情報システム局が管轄外のサービスを利用し始める危険性があります。フリーのファイル共有サービスがその最たる例です。そのため、 Google ドライブで社外共有を禁止にする場合、代替策もセットで考えなければ、新たなリスクが発生してしまいます。

セキュリティ設定を保持した状態で社外共有することができる Cmosy

Google ドライブのセキュリティ設定はデータ漏洩防止における最後の砦です。このセキュリティ設定を保持した状態でファイルを社内外に限定的に共有することができるサービスに「Cmosy」があります。Cmosyは吉積情報株式会社が提供するファイル共有サービスで、 このCmosyを利用すれば、企業は Google ドライブのセキュリティ設定と社外とのファイル共有を両立することができます。

Cmosyに関するお問い合わせはコチラ

Cmosy にはファイル共有以外にも様々な機能が搭載されています。Cmosyは業界を問わず、様々な企業に導入されており実績も十分です。Cmosyの実績や機能詳細、価格表等についてもっと詳しく知りたい場合は、以下ページから資料請求の問い合わせを行ってください。

吉積情報株式会社

TEL:03-6280-5940
サービス紹介URL: https://cmosy.jp/
お問い合わせフォーム: https://cmosy.jp/contact

Google ドライブ関連セミナーを定期開催 !

グループ会社の吉積情報株式会社では Google ドライブ 関連セミナー(オンライン)を定期開催しています! Google ドライブの最適な運用方法や安全に利活用するための拡張機能等を徹底解説します! Google ドライブに関することでお悩みがある方はぜひご参加ください。 Google 公認の技術資格を保持する登壇者が皆様のご質問にお答えします。

※セミナーへの申し込みは、バナークリック後のサイトで行うことができます。

 

合わせて読みたい