1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた
このエントリーをはてなブックマークに追加

辻 伸弘のセキュリティ防衛隊

第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた(3/3)

辻さんはどのようにクラウドサービスを利用している?

★ ちなみに、辻さんは普段どのようにクラウドサービスを利用していますか? 運用上のポイントを教えてください。
辻 伸弘隊長

上記と重複しますが、漏れて困る情報は絶対に外に出さないようにしています。漏えいすると自分以外の人に迷惑のかかる情報、具体的には、人の名前やメールアドレス等は、ファイルを共有する必要がある場合は、削除してから共有しています。そして、当たり障りのない情報についてはクラウド上にアップし、内容についての議論はメールやチャットでやりとりするようにするなど、情報の公開と内容の議論について経路を分けるようにすることもあります。

★ 利用するクラウドサービスについてはどうですか?
辻 伸弘隊長

文章系の情報は、「Evernote」で共有することが多いです。Evernoteには、検索窓に「sharedate:*」と入力して、自分が共有状態に設定しているノートを検索することができるので、共有状態をこまめに確認し、必要のない情報は共有を解除するようにしています。

念のため、代表的なクラウドサービスにおける「ファイルの共有状態」の確認方法を以下に示します(2014年7月時点)。
(1)Googleドライブ
ログインし、検索窓のプルダウンメニューをクリックします。「リンクを知っている全員」(Anyone with the link)を選択すれば、データのアップロード先のURLを付与して共有しているファイルの一覧が表示されます。
Googleドライブキャプチャ

(2)Dropbox
Webサイトにログインし、左側のメニューで「共有」(Sharing)を選択すると、共有フォルダの確認が可能です。
Dropboxキャプチャ01

また、「リンク」(Links)を選択すると、データのアップロード先のURLを付与して共有しているファイルの一覧が表示されます。
Dropboxキャプチャ02

(3)Evernote
クライアント(アプリ)、Webともに、検索窓に「sharedate:*」と入力して検索すると、他人と共有しているノートの一覧が表示されます。
Evernoteキャプチャ

(4)OneDrive
ログイン後、「共有」メニューを選択することで、共有ファイルの一覧が確認できます。
OneDriveキャプチャ

※具体的な確認方法について、詳しくは利用するサービスのサイト等を参照してください。

★ なるほど。その他によく利用するサービスはありますか?
辻 伸弘隊長

講演などをすると、プレゼン資料を配付してほしいと言われることがあります。パワーポイントを使って作成したファイルは、相手がOfficeソフトを持っていないと閲覧できない場合があるので、「OneDrive」にアップすることがあります。「OneDrive」には、相手がOfficeソフトを持っていなくても、ブラウザ上でファイルを閲覧、アニメーション再生できる機能があるからです。アップロードする際に気をつけることは、ファイルの中に書き込んだ発表者ノートの内容や、文書プロパティの情報などを確認し、不要な情報を削除することです。

★ 情報の内容や相手によってサービスを使い分けているのですね。
辻 伸弘隊長

クラウドサービスは、相手方の環境やアカウントの有無などに依存するので、相手方に環境が整っていなければ、無理にクラウドサービスを用いず、メールで情報をやりとりするようにしています。メールにファイルを添付してファイルを送る際に一番気をつけていることは、誤送信のミスに注意することですね。

★ ヒューマンエラーの問題ですか。
辻 伸弘隊長

ヒューマンエラーはゼロにすることが難しいというより不可能ですので、これはもう、注意するしかないです。心構えの問題になってしまいますが、「焦らない」ということは大事です。私は、定型的なやり取りや急ぎのものを除いて、メールは見てもすぐに返信しないようにし、必ず落ち着いた状態で返信を書いて送信するようにしています。自分自身をコントロールすることもセキュリティには大事なポイントなのです。

セキュリティは便利なものを安全に、そして、安心して利用するためのものだと思っています。
それはクラウドに対しても同じで、頭ごなしにクラウドだから「危ない」「ダメ」というものでは決してなく、正しく理解して、安全に便利に使っていけるようになることが大事なのだと思っています。

★ ありがとうございます。クラウドサービス利用時の情報漏えいを防ぐには、まず、外に出して問題のある情報は公開、共有しないという原則を守ることが大事なのですね。そして、利用するサービスの機能や使い方を知ることと、自分が設定した共有内容が意図した通りに反映されているかを、実際に確認するというポイントがあるというのがよく分かりました。

【今回のまとめ】
(1)Webメールやスケジュール管理、グループウェアやオンラインストレージなど、インターネットを利用した「クラウドサービス」上に保存した機密情報が意図せず外部から閲覧可能になるといった情報漏えいの問題が多発している。
(2)こうした意図しない情報漏えいが起きる原因として、「外部に公開、共有してよい情報かどうかの線引きがきちんとされていない」という問題や、「どのように情報を公開、共有するのが適切か、ユーザー側できちんと理解がなされていない」という問題がある。
(3)クラウドサービス利用時の意図しない情報漏えいを防ぐには、まず、外に出して問題のある情報は公開、共有しないという原則を守る。また、その原則がどうなっているのか組織のルールを把握し、個人の場合は自分が漏えいして困るものについては共有しないというルールを設けることが大事だ。
(4)次に、ファイル共有の際に、閲覧できるユーザーを限定できるのか、あるいは、リンク先URLを知っているユーザーであれば閲覧可能なのかといった、利用するサービスの機能や使い方を知ることも求められる。
(5)そして、自分が設定した共有内容が意図した通りに反映されているかを実際に確認してみることも重要だ。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji