近年デジタル化の波もあって、自社での社員間はもちろん、企業間でのファイルのやり取りも、より頻繁に行われるようになってきています。こうした状況下では、きちんとセキュリティを意識した対応をしていないと思わぬ事故につながりかねません。株式会社Fleekdriveのサービス開発部に所属するセキュリティ担当者が、今意識しておくべきファイルのセキュリティについてお伝えします。

ファイルのセキュリティ事情はここ数年でどう変化した?

まずは近年のサイバー攻撃のトレンドを確認しましょう。IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2022」によると、攻撃対象組織に属した個人を狙った「ランサムウェアによる被害」や「標的型攻撃による機密情報の窃取」、それから関連組織を狙った「サプライチェーンの弱点を悪用した攻撃」がトップ3に入りました。

これらのサイバー攻撃は以前から多いものの、これまで以上に精緻に組織に属する個人を狙った攻撃が増えたと感じています。特に変化した部分は、攻撃の入り口となる個人の探し方が的確だったり、攻撃を仕掛けるメールのタイトルや本文がより精巧に作られていたりする点です。だまし方がより巧妙になっています。

例えば珍しいサイバー攻撃手法として、ファイルの圧縮率を高めるツールを悪用した、通称「ZIP爆弾」が挙げられます。数十MBのZIP形式のファイルに巨大な容量のファイルが含まれており、企業の社員などがこれを展開すると、ハードディスクやファイルサーバの容量がパンクし、使用不能に陥ってしまう可能性があります。

コロナ禍で普及したリモートワークは、社員の働きやすさを向上させた反面、セキュリティ面では多くの課題を抱えています。社員が持ち出す機器・端末に対して十分なセキュリティ対策をしていないと、サイバー攻撃の標的になってしまうほか、社員が自社の情報を無断で持ち出せる状況にもなりがちです。よって、ファイルのセキュリティ対策はより重要になっているといえます。

企業が意識すべきファイルのセキュリティ

では、企業はどのようなセキュリティ対策を実施すればよいのでしょうか。以下の5つはぜひ実施してほしいと考えています。

その1「ファイル(情報資産)の洗い出しと評価」

企業にはさまざまなファイルが存在し、顧客の個人情報を含んだ非常に重要なファイルから、業務整理のために一時的に作成したファイルまで、その内容や重要度はさまざまです。まずは、自社内にどのようなファイルが存在していて、そのファイルはどうしても漏洩を防ぐ必要があるものか、漏洩してもリスクが低いものか、などを整理しましょう。

意識しないリスク:セキュリティ対策が不足、もしくは過剰になる

ファイルの洗い出しや評価を行わないと、ファイルの重要性に合ったセキュリティ対策が実施されない可能性があります。重要なファイルに対するセキュリティが不足したり、重要でないファイルに過剰なセキュリティをかけてコストが増加したりするなど、不適切な状況になりやすいのです。

その2「ファイル(情報資産)の保存先と活用方法の確認・見直し」

ファイルの洗い出しと評価が終わったら、それらのファイルがどこにどのような形で保存されているのかを確認します。ファイルの主な保存先は、PCやUSBメモリ、ストレージ、クラウドストレージなどです。それぞれのファイルが適切な場所に保存されていないようなら、保存先を見直してファイルを移動するとよいでしょう。

なお、複数のストレージに保存するか、国内・国外のストレージに分散させるかなどは、その情報をどの程度まで保持したいのかによります。例えば、Fleekdriveのようなクラウドストレージをメインで利用してクラウドのみに保存する場合もあれば、メインでストレージを利用し、バックアップとしてクラウドストレージにも保存するという場合も考えられます。

意識しないリスク:適切なセキュリティ対策が実施しにくくなる

ファイルの保存先を把握しておかないと、適切なセキュリティ対策を実施できない可能性があります。例えば、社外秘の重要なファイルを持ち出ししやすいUSBメモリに格納していると、誤って紛失してしまうリスクが高まります。もし重要なファイルを持ち出す必要があるのなら、USBメモリにパスワードをかけるなどの運用が必要でしょう。

その3「ファイル(情報資産)への適切なアクセス権限の設定」

ファイルを洗い出して保存先も確認できたら、どのような人物がファイルにアクセスする必要があるのかを確認します。そして、それに応じたアクセス権限を設定しましょう。

意識しないリスク:情報漏洩の危険性が高まる

例えば、社外秘の情報を一般社員も閲覧できる状態の場合、一般社員のPCがサイバー攻撃を受けたときに情報が外部に漏れてしまう危険性があります。また、アクセス権限が適切に付与されていないと、ファイルを簡単に持ち出せる状況にもなりやすく、セキュリティ面の不安要素につながります。

その4「ファイル(情報資産)の検疫の実施」

現在PCやサーバ上に保存しているファイルには、自社で作成したものから、他社サイトからダウンロードしたもの、お客様から送付されたものなど、さまざまな作成方法や経路によるものが存在していると思います。それらすべてのファイルが、ウイルスに感染していないかを検疫することが重要です。

Windowsにはマルウェアを検出して削除できる「Windows Defender」というセキュリティ機能が備わっているため、比較的安全ではありますが、これに加えて一般的なセキュリティソフトなどでスキャンをかけるとよいでしょう。

意識しないリスク:サイバー攻撃の標的になったり、ウイルスを拡散してしまったりする

ファイル検疫を十分に行っていない場合、ウイルス感染したファイルを他社に送付してしまったり、ウイルスが社内ネットワークに侵入し、ランサムウェアの被害に遭遇したりと、無数のリスクが発生してしまいます。

その5「ファイル(情報資産)の利用状況の追跡」

近年は、どんなにセキュリティ対策を講じても、ウイルスに侵入されて被害に遭ってしまう可能性を0にはできません。そこで、社員のPCに専用ソフトを入れるなどして、ログなどの証跡取得が可能な状態にしておきます。こうしておくと、そのPCが攻撃されたときや情報が漏れた際に、的確な対策が講じやすくなるのです。

なお、利用状況の追跡が可能であることを社員に周知しておくと、不正行為の抑止力になることもあります。知らずに証跡取得システムを削除してしまう心配も少なくなるでしょう。

意識しないリスク:万が一サイバー攻撃を受けた際に、対策が打ちにくい

仮に社員のPCがサイバー攻撃を受けて、個人情報や社員情報などが漏洩した場合、証跡を取得していないと、何が原因で漏洩したのかが特定しにくくなります。これでは再発防止策を立てることも難しくなってしまうでしょう。

セキュリティを意識し過ぎると利便性が失われる?

セキュリティを意識して対策をしすぎると、業務が遂行しにくくなるのではないか、という質問も受けます。しかし情報資産の漏洩リスクを評価して、その漏洩リスクに応じたセキュリティ対策を実施すれば、業務での利便性を高めつつもセキュリティ対策を講じることが可能です。

例えば、漏洩してはいけない代表格である個人情報は、最も高いセキュリティレベルにし、それよりも重要度が下がる社員情報はセキュリティを緩和した対策を実施し、利便性を持たせるといった形です。すべてのファイルを同じように守る必要はないので、ファイルを分類してそれぞれに合った対策をしていくとよいでしょう。

ファイルのセキュリティには「Fleekdrive」を使えば安心です!

オンラインストレージサービスの「Fleekdrive」では、ファイルの検疫、アクセス権限の付与、ユーザ単位での証跡取得・出力機能を提供し、セキュリティ対策を講じやすくしています。

まず、Fleekdriveへファイルをアップロードすると、自動的にウイルススキャンが実行され、ウイルススキャンに失敗したファイルはアップロード不可となります。最近、圧縮率の高いファイルを自動検知したことがありました。これは前述の「ZIP攻撃」を想定した対応です。このように単なるウイルス検知だけではない働きもしています。

次に、ユーザ単位またはユーザが所属するグループ単位でアクセス権限を付与し、ファイルの内容や活用方法に合わせた権限を設定できます。アクセス元のIPアドレスで判断して、アクセスを制限することも可能です。

そして、ユーザがいつFleekdriveへログイン・ログアウトを実施し、どういった操作をしたかなどの証跡追跡や、ファイルの編集やダウンロードに関する詳細な証跡の出力も行えます。さらに監査オプション機能として、ユーザの追加やロック、アクセス権限の変更、特定の拡張子がついたファイルのアップロードなど、管理者が「やってはいけない」と指定したアクションが実行された場合に通知する機能も追加可能です。

デジタル化によって柔軟な働き方が実現した反面、サイバー攻撃の脅威はますます高まっています。各ファイルに適したセキュリティ対策を講じ、さまざまなリスクを防ぎましょう。