コラボレーションツールは安全か

ファイルの保存、文書やプロジェクトの管理に使用されるクラウドサービス。メリットがある一方、さまざまな問題のもとになる場合もあります。

比較的規模の小さい企業の場合、高価なコラボレーションツールにコストをかけるのではなく、安価な(できれば無料の)ツールを選ぶことが多いものです。良くも悪くも選択肢は豊富ですが、このようなツールの使用がセキュリティにもたらす影響を考慮しないと、最終的に高く付く可能性があります。

ドキュメントの共有

多くのコラボレーションツールでは、少人数のチームで同時にドキュメントを編集できるようになっています。単にテキストを編集できるだけでなく、グラフィカルインターフェイス、図表、ソースコードなど、さまざまなものを共同開発することができ、とにかく便利です。しかし、こうしたサービスを使い始める前に、情報はどのように保管されるのか、誰がアクセスできるのか、どのようなセキュリティ設定があるかなど、仕組みをきちんと理解した方が良いでしょう。誰でも作業用ファイルにアクセスできる状態のままにしておくのは、よろしくありません。情報漏洩のことは気にしなくてよい場合でも、何者かが勝手にプロジェクトの文書を変更してしまったら業務に支障が出る可能性があります。

Googleドキュメントを例に考えてみましょう。ドキュメントへの直接リンクを、特に制限もかけずGoogle経由でシェアする人は多いのですが、そのようにすると、これらのドキュメントは検索エンジンによってインデックスを付けられます。つまり誰かがインターネット検索したときの検索結果の中にこれらのドキュメントが出てくるわけで、実質的に誰でも中身を見ることができる状態となります。ドキュメントに含まれる従業員の個人情報、顧客リストと連絡先の詳細、給与の支払い台帳などが不特定多数の目に触れることになりかねません。

対策:ドキュメントを非表示にできるサービス、または、少なくともドキュメントがどのように保存されるのか明確に説明されているサービスを利用しましょう。必要な人だけにドキュメントへのアクセス権を設定するのは必須なので、このような設定ができるかどうかも重要な検討ポイントです。また、アクセスする必要がなくなった人のアクセス権は、忘れずに無効化してください。

クラウドファイルストレージ

メールに添付するには大きすぎるファイルを送る必要があるとき、便利なのがクラウドファイルストレージです。クラウドにファイルをアップロードして相手にリンクを送ればOK、これならサイズ制限の心配はありません。しかし、クラウドファイルストレージも、利用の際には注意が必要なサービスです。多くのファイル共有サービスでは、データの保護手段が講じられていません。また、ドキュメント共有の場合と同様に、アップロードしたファイルが誰かの検索結果に登場する可能性もあります。

保護手段が講じられている場合も、セキュリティ設定を最大限に引き上げておきましょう。いったんクラウドサービスに登録してデータをアップロードし、アップロードしたことを忘れてしまうのは珍しくありませんが、注意したいのは、パスワードが漏洩する可能性があるということです。Dropboxからパスワードを盗んだハッカーもおり、Dropboxよりも小規模なサービスについては言うまでもありません。

対策:2段階認証をサポートしている、信頼できるファイル共有サービスを選びましょう。データをクラウドにアップロードしたら、クラウド上にファイルを上げてあることを忘れないようにしてください。使わなくなったファイルは削除しましょう。また、複数のクラウドサービスを使うのは混乱のもとです。ファイルの共有に使うサービスは1つに絞りましょう。

プロジェクト管理

プロジェクト管理プラットフォームでは、プロジェクトメンバー同士でコミュニケーションを取り、ファイルを共有し、プロジェクトを体系化することができます。事業戦略の話し合いやファイルの転送にプロジェクト管理プラットフォームを使用する場合には、誰が今この情報にアクセスできるかだけでなく、今後誰がこの情報を見る可能性があるかを把握しておくことが重要です。クラウドプラットフォームの中には、プラットフォーム上にあるものすべてが誰でも見られる状態にデフォルト設定されているものもあります。他の人から見えないように設定することもできますが、非表示設定にするのを忘れることもあります。また、誰かがプロジェクトへのアクセス権を手に入れた場合、プロジェクトの全履歴も見られてしまうと考えた方がよいでしょう。

こういった共同作業環境へのアクセス権を、会社から受託業者またはフリーランサーに与えることはよくありますが、今あなたのために働いている人が明日は競合他社の仕事をしているかもしれません。解雇された従業員に至っては、アクセス権が取り消されるまでの隙に情報をごっそりダウンロードするかもしれないというリスクがあります。

対策:プロジェクトへのアクセス権を制限しましょう。関係者に対して付与する権限は、作業に関連するファイルに対する権限のみとしてください。コミュニケーションの環境は、従業員と外部の人間(委託業者、顧客)とで分けましょう。元従業員やフリーランサーに与えたアクセス権は、必要なくなったら直ちに無効化してください。

その他のヒント

どのようなサービスにも脆弱性があります。そのことをどうぞお忘れなく!サービスを使い始めたときに見つかっていなかった脆弱性が、後になって見つかる場合もあります。また、多くのサービスでは、クライアントアプリに独自の問題を抱えています。したがって、以下の対策をお勧めします。

  • コラボレーションツールを使い始める前に、ツールの設定やデータ処理規則がどうなっているのかをよく調べると同時に、セキュリティ面について利用者がどのように評価しているのかを確認しましょう。
  • 社内にIT関連を担当する人または部署が存在する場合:IT担当者は、どのコラボレーションツールが社内で使用されているか、どのような設定になっているか、管理者は誰かを明確に理解している必要があります。
  • IT専門の担当者がいない場合:コラボレーションツールごとに、責任者を割り当てましょう。クライアントアプリに脆弱性が発見されたときにはすぐにアップデートを行い、情報漏洩が起きた場合にはパスワードを変更し、アクセス権の付与と取り消しが必要に応じて行われるようにしてください。
  • リンクやファイルの共有に使用されるサービスは、マルウェア感染経路となる可能性があります。したがって、このようなツールを使用しているデバイスには、信頼できるセキュリティソリューションをインストールする必要があります。

中小規模企業向けのセキュリティソリューション「カスペルスキー スモール オフィス セキュリティ」は、インストールした後で設定をこまめに調整する必要がありません。この製品はWindowsおよびMacコンピューター、Androidデバイス、Windowsファイルサーバーに対応しており、最新のランサムウェアに対応可能なほか、暗号化とバックアップにより貴重なファイルを守ります。また、オンラインでの決済の安全を確保し、脆弱性監視機能とタイムリーなソフトウェア更新を通じて各種アプリケーションを保護します。カスペルスキー スモール オフィス セキュリティの詳細と購入については、こちらのページをご覧ください

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?