Googleドライブの共有管理を怠ることで起こる危険性と対策

Googleドライブはファイル共有とストレージの利用に非常に便利であり、多くの企業で活用されています。

便利である一方で、使い方を誤ったり、管理を怠ったりするとセキュリティリスクを引き起こす可能性があります。最悪の場合、機密事項や個人情報の漏洩に繋がり、大きな損失に繋がってしまうかもしれません。

そのため、従業員に管理を一任するのではなく、企業として明確なルールを設けたり、徹底した管理をする必要があります。

この記事では、下記の内容について解説をしていきます。

「そういえば自社のあのデータ、誰まで共有されているんだっけ？」と思った方のきっかけになれば幸いです。

Googleドライブの共有が引き起こす危険性

近年、リモートワーク制度を取り入れる企業が増加し、それに伴いGoogleドライブも広く普及してきました。手軽な操作性で広く利用されている半面、そこに潜む危険性についてどれほどのユーザーが理解しているでしょうか。

ワンクリックでできる共有が、自社のビジネスの存続危機につながるかもしれません。そこに潜む危険性について解説していきます。

ファイルの改ざんや消失

Googleドライブの共有権限を適切なものにしておかなければ、ファイルの改ざんや消失をされてしまうというリスクがあります。

Googleドライブは、権限の共有を容易に行うことができるので、誤って権限を付与してしまえば、社外の人間でも簡単に、データの改ざんや削除ができてしまいます。

例えば、重要なデータにも関わらず、「リンクを知っている全員」がアクセスできたり、共有アドレスを選択する際にサジェスト機能から意図していないメールアドレスを追加したりしたとします。その場合、社外の人間が自社に有利に働くよう、ファイルの改ざんを行う可能性も0ではありません。

そのため、Googleドライブの権限により、重要な情報の削除や改ざんのリスクが潜んでいると言えます。

閲覧履歴が残らない

Googleドライブは編集履歴を残すことはできますが、閲覧履歴を残すことはできません。

ドライブ内でアップロードやファイルの編集、コメントをした場合は残りますが、閲覧しただけでは履歴が残らないのです。「いつ」「どこで」「誰が」見たのか分からないので、長期間にわたり情報が漏れていても気づけない、という点もGoogleドライブを使用する上で注意すべき点と言えます。

実際に、約10年間にわたり情報が公開されていたというインシデントも起きています。

機密情報の漏洩

近年、クラウドサービスの設定不備により機密情報流出に至る事案が増加しており、社会的問題となっています。それらの機密情報には、まだ世に出ていない会社間のやりとりや、顧客情報などが含まれます。

情報漏洩が起きると被害者への慰謝料の支払いなど金銭的な負担に加え、場合によっては業務上の過失として刑事罰やその他の責任を問われる可能性もあります。更に、企業の存続に影響を与えかねません。情報流出等が発⽣した際の株価は平均10%下落し、 特に、東証⼀部以外の企業は15%も下落することが分かっています。その中には、社会的信用が大きく傷つき、実際に事業の停止にまで至った企業もあります。

総務省の「クラウドサービス利用における適切な設定ガイドライン」によると、クラウドサービスの設定不備により、以下のようなインシデントが発生しています。

クラウドサービス提供事業者が、提供している SaaS の機能変更を行った。これに伴い、当該 SaaS のユーザーアクセスに関する設定について、結果的にデフォルトでセキュリティレベルが下がってしまった。利用企業側はこれに気づかず、低いセキュリティレベルのまま利用し続けた結果、機密情報が大量に流出した。

企業従業員が個人的にクラウドサービスを利用し、自社の業務で利用する機密情報を格納していた。

後にこれらのファイルが公開設定であったことが外部からの指摘で判明した。

ある企業の業務委託先が、サーバからクラウドサービスへのデータ移行を行う際に、ストレージの設定を公開設定としていた。これにより長期間機密情報が公開されている状態になった。

これらは公表に至った一部の例です。公表されていない事例も発生していることを念頭に置き、何の対策もせずそのまま使用するリスクを私たちは理解しなければなりません。

Googleドライブの共有による危険を引き起こす理由

世の中で起きているクラウドサービスの設定によるインシデントは、何故、起こってしまったのでしょうか。要因としては、各企業の体質や運用方法によるところがあり、下記に代表的なものをまとめました。貴社で当てはまる部分がないか確認してみましょう。

誰でも簡単に活用できてしまう

Googleドライブは、インターネット環境とGoogleのアカウントさえあれば、誰でも無料で手軽に始めることができます。そのため、詳細の機能や設定を理解しないまま使い始めるユーザーが多いのも事実です。

更に、ユーザーフレンドリーなデザインを重視し、共有操作をシンプルかつ直感的に設計しています。したがって、専門知識のない人でも簡単に活用できるのがGoogleドライブのメリットであり、普及した理由のひとつでもあります。個人でもアカウントを作りやすいので、退職した後も外部から会社情報を流出させやすいのです。

アクセス権限の設定ミスをしてしまう

誰しも行ってしまう可能性があるのがアクセス権限の設定ミスです。特に入退社や異動の多い期の変わり目には注意が必要です。従業員の役割や職務が変更された場合、アクセス権限を変更する作業が頻発します。この際、不適切な権限が維持されたり、必要な権限が削除されたりすることがあります。外部ユーザーへの共有についても同様のミスが発生しやすいです。

また、Googleドライブのデフォルト設定では、共有リンクを生成した際に誰でもアクセスできる設定になっていることがあります。ユーザーが特にセキュリティ設定を変更しないままにしていると、不正アクセスのリスクが高まってしまいます。

こういった事象から、アクセス権限の設定ミスが持つ危険性をご理解いただけたでしょうか。

そして、企業はその人的ミスまで取り締まることが難しいといった課題に直面しています。

アクセス権限に関するルールがない

多くの企業では、アクセス権限に関するルールを設けていないか、形骸化しているケースが多くあります。その理由は、下記のものがよくあげられます。

急速な組織の成長や変化がある場合、新たな従業員や部門が加わり、ファイルやデータの管理が複雑化します。このような状況下では、アクセス権限に関するルールの整備が追いつかないことがあります。また、ルールを定めたとしても、セキュリティ状況や組織のニーズが変化するため、定期的な見直しや更新、啓蒙が必要となります。それらも含めたルールを定める必要があるのです。

アクセス権限を誰も管理していない

よく聞かれる声としては管理者のリソース不足です。セキュリティポリシーを策定・管理するための専門的な人材が不足している場合、アクセス権限に関するルールの作成が難しくなります。特に、中小企業やリソースが限られている組織では、この問題が顕著です。

結論、「言われてみれば危険をはらんでいることは理解できるが、管理する人がいないから、インシデントが起こるその日まで放置され続けている」という状態を招いています。

Googleドライブの共有による危険を回避するための対策

ここまで、危険性とその原因について述べてきました。では、それらを回避するために我々は何をすれば良いのでしょうか。見て見ぬフリをせず、できることから着手することが大切です。

運用ルールを作り管理者を定める

組織の情報セキュリティ対策には、仕組み化が必要です。Googleドライブを安全に利用するためにも、組織内での運用ルールの策定とセキュリティ管理者の指定が不可欠です。

まず、全ての従業員にセキュリティに対する知識を身に付けてもらうことから始めましょう。全員がリスクを理解し、ルールを守る良しを土台を作るのも管理者の役割です。

次に、組織内で共有されるファイルに関するアクセス権限のポリシーを明確に定義しましょう。誰がどのファイルにアクセスでき、どのような操作が許可されるのかを明示するのです。

共有プロセスにおいては、ステップバイステップのガイドを提供し、従業員が共有時に適切な設定を行う際に立ち返れるようにしましょう。

また、外部ユーザーへのアクセス許可をする際には、「本当に許可をしていいのか」慎重に検討する必要があります。必要に応じて承認プロセスを導入するのも効果的です。これらの仕組み化は、組織全体でセキュリティ意識を高めるのに役立ちます。

継続的なメンテナンスを行う

セキュリティに関するルールは、継続的なメンテナンスを行うことが必要です。 共有のルールを作成したとしても、全ての従業員がまっとうできる訳はなく、人的ミスは必ずといっていいほど起こりえます。

特定非営利活動法人日本ネットワークセキュリティ協会が発表している「情報セキュリティインシデントに関する調査報告書（2018年）」によると、情報漏洩の原因で一番多い理由として「人的ミス」が挙げられます。 

上記のように、どこまで細かくルールを作成しても、人的ミスは避けられないことを前提として、継続的にメンテナンスを行うことが重要なのです。

 メンテナンスの内容としては、主に下記の2つが挙げられます。 

上記のようなメンテナンスを継続的に行うことで、Googleドライブの共有における危険性を最小限に抑えることができます。

Googleドライブの共有を簡単に管理するならツール導入がおすすめ

Googleドライブの管理を簡単に行うには、ツールの導入をおすすめします。

通常業務にプラスして対策を進めることは「人」も「時間」も「労力」も奪います。組織が成長し、ファイルやデータの量が増えるにつれて、共有設定やセキュリティポリシーの管理はますます複雑化します。こうした複雑性と、ヒューマンエラーによるリスクに対処するためには設定管理ツールが非常に有用です。

弊社で提供しているSecurify SaaSは、無料で始めることができ、Googleドライブのセキュリティリスクに対してシンプルかつ網羅的に可視化することができます。いつでも・何度でも・継続的に診断できるため、情報漏洩を未然に防ぎます。

ツールを導入することにより、設定の監視を自動化でき、セキュリティ担当者がより戦略的なセキュリティ課題に集中できます。

まとめ

本記事ではGoogleドライブの危険性とその対策について述べてきました。リスクがあったとしても、ここまで便利で普及してきたGoogleドライブを使わないという選択肢は考えられません。

自社でインシデントを発生させないためにもセキュリティ管理を徹底する必要があります。企業の成長により増える従業員数、セキュリティ人材の不足を考えると、ツール導入が最適です。

Securify SaaSならその一歩目を無料で踏み出すことができます。今、できることから始めてみませんか。