昨今のデジタル化推進とテレワーク普及により、クラウドストレージサービスが注目を集めています。
クラウドストレージを利用することで、PC端末や自社サーバーの代わりにサービス事業者がインターネット上に設置したストレージにデータを保存したり、同時に複数人がデータの閲覧やダウンロードをすることができます。
特にここ数年は、個人利用向けのストレージサービスに加えて企業内・企業間のデータ共有を想定したビジネス向けストレージサービスも浸透し始めています。
国内企業におけるクラウドストレージサービスの利用実態は3パターンに分類できるでしょう。
1.クラウドストレージサービスの利用自体を禁止
2.指定されたクラウドストレージまたは自社開発のクラウドストレージのみ利用可能
3.有料/無料のストレージサービスを必要に応じて利用可能
また、同じくデータ共有を目的としたサービスとしては、データ転送サービスというものも存在します。
主に企業間におけるデータの受け渡しに利用されるサービスですが、こちらはデータの送信者と受信者が明確なため、不特定多数の人間がデータにアクセスする可能性は低くなります。
一方のクラウドストレージは、フォルダのURLやアクセス権限さえ持っていれば、誰でも・いつでもアップロードされたデータにアクセスすることができてしまいます。
そのため、クラウドストレージサービスの利用には意図せぬデータ喪失や流出といった、利用企業内部に起因するトラブルがつきものです。
データ保護に関しては、多くのサービスプロバイダーがクラウドストレージの利用に際して責任を負わないことを明記しているので注意が必要です。
また、各プロバイダーはサイバー攻撃を含む外部からの悪意あるアクセスへの対策はしていますが、社内メンバーの操作ミスによるデータ喪失や、社外へのデータ持ち出しまで監視することはできません。
つまり、利用者側である企業・各ユーザー社員が適切なリスク管理をしなければならないのです。
オープンかつ大規模なデータ共有手段を利用する以上、クラウドからのデータ喪失・流出を防げるようなセキュリティ対策を施す必要があるのです。
では、既にサードパーティーのクラウドストレージを利用している企業では、どのようなリスク管理を行っていくべきなのでしょうか。
まずは、大半のクラウドストレージサービスが提供しているアクセス権限や操作制限の管理機能を使うことが簡単でしょう。
そもそもストレージ内のフォルダにアクセスできる人物を限定すれば、意図せぬ社内メンバーがデータを閲覧・入手することを避けられます。
他にも、各ユーザーがストレージ内のファイルに対してできる操作を制限することで、データの削除やデータ流出につながるダウンロードを防止することが可能です。
しかし、アクセス権限やアクション権限の管理は、忙しい日常業務の中にあってはどうしても忘れてしまいがちです。
また、アクセス権限そのものを誤ったアカウントに付与してしまう、変更し忘れてしまうなどは軽く考えてしまいがちですが重大な情報漏洩リスクに直結します。
