そして、テレワークにおいて利用するクラウドサービスはWeb会議サービスだけではありません。テレワーク下でビジネスを継続するために、ビジネスで扱う契約書や請求書、お客様の個人情報が含まれるドキュメントといった重要なファイルを、クラウドサービスを利用して共有する場面もあるでしょう。しかし、これまで利用していなかったクラウドサービスを利用する際は、セキュリティ面が気になるところです。
本記事では、テレワーク時の「ファイル共有」でお悩みのIT担当者のために、ファイル共有の手段と課題、およびその解決策について解説します。
まずは、テレワークにおけるファイル共有の主な手段と、その課題について確認してみましょう。
ファイルサーバは、現在もオンプレミスで運用されている企業も多いのではないでしょうか。オンプレミスのメリットには、大切なデータが「社内に存在する」というセキュリティ上の安心感があります。ファイルの持ち出しなどのアクセス状況については、ネットワークの出口と入口を監視することで、比較的容易に把握できます。社外との境界にファイアウォールなどを正しく設置すれば、情報漏えいを含む様々なセキュリティリスクからデータを守ることができます。
また、テレワークにおいても、VPN(Virtual Private Network:仮想専用線)経由でアクセスすることで比較的容易に「使いやすさ」と「セキュリティ」を両立することが可能です。
一方で、社内でサーバを管理・運用することは簡単ではありません。また、VPNも社員が一斉にテレワークを行った場合など、キャパシティ面で問題が発生する可能性もありますし、ネットワーク負荷軽減のために「スプリットトンネリング」[1]が行われた場合、マルウェアへの感染や、情報漏洩のリスクが高まるという問題もあります。
[1]VPNを経由せずに直接インターネットへアクセスさせる設定のこと。自社の「URLフィルタ」や「アンチウィルス」等の各種セキュリティ対策をパスしてしまう。
ファイル共有のためのクラウドサービスは数多くあります。Googleドライブ、Dropbox、OneDrive、Boxなど、高品質のクラウドストレージでも無料で提供されているものもあり、人気を集めています。
これらのサービスは自由度の高さや導入の容易さから人気があり、テレワーク下でこれらのサービスを活用している企業も多いのではないでしょうか。
しかし、これらのサービスをビジネスの現場で活用する際は、自社のセキュリティポリシーと照合をすることなどによって、ファイル共有ツールとしての安全性をしっかりと確認をしておく必要があります。
特に、今回のコロナ禍のように、急遽テレワークの必要性に迫られた状況では、社員が会社の許可なくクラウドストレージを活用することも想定されます。これは、「シャドーIT」の温床となりますし、内部統制の観点からも問題となるでしょう。また、サービスによって、機能やセキュリティ対策、ユーザサポートの品質などに差がありますので、自社の要件に合うサービスや利用プランを選定することも重要です。
ここからは、前述したテレワークにおけるファイル共有の課題に対しての、解決のアプローチについて解説をしていきます。
ファイル共有を行うための選択肢は、クラウドストレージだけではありません。いきなり「どのクラウドストレージを選ぶか?」ということから考えるのではなく、まず基礎的な要件を整理することをおすすめします。最初に、自社のやりたいことは何か?(共有、転送、長期保管など)を確認してから最適なサービスを選定するようにしましょう。
要件が整理できたら、サービスの選定を行います。いくつかの候補となるサービスを選び、自社の要件やセキュリティポリシーを満たすことができるかを確認しましょう。恐らく、この時点でほとんどの無料サービスが選択肢から外れるはずです。信頼性や安全性を考えた場合、必然的に法人向けの有償サービスの中から選定することになるでしょう。
なお、クラウドサービスの導入検討に関しては、IPA(独立行政法人情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」における「クラウドサービス安全利用の手引き」が活用できます。この手引きでは、クラウドサービスの選定だけでなく、運用時やセキュリティ管理におけるポイントを15項目のチェックリストとして簡潔にまとめています。中小企業向けではあるものの、基本的な考え方は多くの組織で共通しますので、ファイル共有サービスの導入の際にも是非ご活用をおすすめします。
テレワークにおけるファイル共有でお困りの場合は、弊社のファイル転送/共有サービス「クリプト便」を選択肢の1つとしておすすめいたします。
「クリプト便」は、ISO/IEC 27017に基づくISMSクラウドセキュリティ認証(JIP-ISMS517-1.0)[3]、およびISO/IEC 27018に基づくプライベート認証[4]などの第3者認証を取得しており、法人向け用途として安心安全なクラウドサービスです。
また、「クリプト便」はファイル共有に必要となる機能の提供だけでなく、お客様組織におけるセキュリティポリシーとの照合の支援や、弊社施設に対する監査の受け入れなど、導入検討時や導入後のセキュリティ監査対応の面でのサポートも充実しています。
[3] クラウドサービスのセキュリティに関する国際規格。ISO/IEC 27017:2015のガイドラインを満たしている組織を認証する仕組み。
[4] パブリッククラウドにおける個人情報の保護に特化した国際規格。ISO/IEC 27018:2014のガイドラインを満たしている組織を認証する仕組み。
ユーザ間で電子ファイルを共有する用途を、「コラボレーション」「掲示」「回収」の3つに分類し、ユーザのアクセス権限を用途ごとにあらかじめ設定しておくことで、設定漏れや用途を逸脱した権限の設定を防ぎ、意図しないファイル共有が生じないように、システム面から制限します。また、承認機能によってアップロードミスや情報持ち出しの制御も可能です。
クリプト便の詳しい内容については、こちらをご参照ください。
テレワークにおけるファイル共有の手段と課題を整理し、課題解決へのアプローチについて解説させて頂きました。
これからは、適切なクラウドサービスを選定するとともに、クラウド活用を前提とした仕組みを作っていく必要があります。これは、特にクラウドサービスを活用する機会の多いテレワーク環境を考える上で、重要なポイントと言えるでしょう。
また、テレワークが急速に進むなか、ビジネスにおいて安全にファイルを転送・共有するクラウドサービスの需要も高まっています。もし皆様がファイル共有サービスの利用をご検討の際には、ぜひ「クリプト便」も候補に入れていただければ幸いです。