高セキュリティな企業間ファイル転送・ファイル共有サービス
  1. オンラインストレージ、ファイル転送・共有サービス【GigaCC】HOME
  2. お役立ち情報
  3. Security
  4. 仕事で使うファイル転送サービスについて、セキュリティの視点から考える。
COLUMN
お役立ち情報

仕事で使うファイル転送サービスについて、セキュリティの視点から考える。NEW

仕事で使うファイル転送サービスについて、セキュリティの視点から考える。


セキュリティインシデントによる重大被害は拡大するばかり

2018年12月にトレンドマイクロ株式会社が発表した『法人組織におけるセキュリティ実態調査 2018年版』によれば(https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20181219-01.html)、2017年の1年間に国内法人組織の42.3%がセキュリティインシデントに起因した重大被害を経験。また、年間被害額は平均2億円を超えるといいます。

2019年1月には、国内における無料大容量ファイル転送サービスの草分け的な存在でもあるサイトにおいて顧客情報が流出。IT専門のメディアだけでなく、日本経済新聞などでもその経緯が報道され、直近でも大手アパレルメーカーが運営するオンラインストアサイトにおいて、46万件を超える第三者による不正なログインが発生したと発表されました。

このような状況を背景に、このコラムではファイル転送サービスを提供する立場として、セキュリティに関する弊社の考え方や実施している対策について取り上げたいと思います。

国が示すクラウドサービスを選ぶ際のチェックポイント

クラウドサービスの利用を検討する際には、具体的にどのようなチェックすればいいのか。その一例として、総務省では、クラウドサービスの安全・信頼性を向上させるため、利用者によるクラウドサービスの比較・評価・選択等に資する情報の開示項目を示した「クラウドサービスの安全・信頼性に係る情報開示指針」を公表しています(http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000167.html)。

同指針の中で提示されている情報開示項目は、事業所等の概要からサービス内容、各種セキュリティ対策の対応状況まで分類項目だけで90項目以上におよびます。別の見方をすれば、クラウドサービスを利用するにあたっては、これだけの項目を確認した上で検討を進める必要があるとも解釈できます。

インシデントは必ず発生するという前提でサービスをチェックするべき

それでは、弊社が考えるファイル転送サービスを選ぶ際のセキュリティに関するチェックポイントについて紹介していきましょう。

第1のポイントは、自社のセキュリティリファレンスに合致しているかどうかの確認です。

総務省が示している指針はあくまでもサービス事業者が開示すべき事項ですが、情報が開示されていれば良いというものではありません。セキュリティ事項に限らず、開示されている内容が自社の情報システムの利用やセキュリティポリシーに合っているかどうかを見極める必要があります。

第2のポイントは、不正アクセスされた場合の対応です。

現状、技術的には不正アクセスのリスクを完全に排除することはできません。そのため、そのような状況が発生してもデータの悪用を防ぐ対策が必要となります。先ほども紹介したようにデータを暗号化するのは有効な手段の1つですので、パスワードデータに限らず暗号化がなされているかどうか、また定期的にウイルスチェックなどが実施されているかといった対応もチェックポイントとなります。ファイル転送サービスという視点から見れば、通信が暗号化されているかどうかも要確認事項となります。

そして、万が一インシデントが発生してしまった場合、原因を追及し対策を講じたり、被害状況を正確に把握するためにも「いつ」、「誰が」、「何のファイルを」、「誰に」送受信・共有したかを確認できる履歴ログが保管されているか、どのような情報が把握できるかどうかも重要な確認事項となるでしょう。

そして、第3のポイントはユーザー管理に関する対策機能の有無です。

これまで発生した情報漏えいなどの事案を見ると、設定のミスや漏れなどにより本来アクセス権を持っていないユーザーに余計なアクセス権が付与されてしまったり、幽霊アカウントが悪用されてしまったりする例も見られます。また、Webサービスとは異なりますが、認証失敗によるロック機能が実装されていなかったため、クレジットカードが簡単に乗っ取られるといった事案も発生しています。

弊社の設計思想は、お客様のセキュリティポリシーにそったユーザ管理や柔軟な運用ができるようにする、ということです。不正ができない、もしくは不正があったとしてもすぐに特定できる環境を実現しておく必要があります。

たとえば、弊社のサービスであれば、下記のような機能を実装することで、より厳格なユーザー管理、柔軟な運用ができるようにしています。

  • 幽霊アカウント対策として、アカウントの有効期間の設定や、未使用アカウントの強制ロックが可能
  • アクセス失敗によるアカウントのロック機能
  • アカウント単位で、グローバルIPアドレスによるシステムの利用を制限
  • 承認を得てからファイルの送信・転送を行う、承認ワークフロー機能
  • 不用意にファイルを残しておかないための自動削除機能
  • 送信する宛先をリストにより制限する宛先制限機能
  • アップロードされたファイルを別領域に自動バックアップすることで、監査対策やトレーサビリティーを確保

このように、弊社のファイル転送サービス「GigaCC」ではお客様自身の情報やお客様からお預かりしている情報を守り、スムーズなデータの転送環境を実現するため、さまざまな対策を実施しています。

性質上、そのすべてをホームページなどでは公開していませんが、個別のお問い合わせにお答えすることは可能です。また、導入事例なども豊富に取り揃えており、ホームページでは公開していない事例もありますので、お気軽にお問い合わせいただければと思います。

関連機能資料を以下のリンクからダウンロードいただけます。


CONTACT USお問合せ

まずは使って実感!無料トライアル
見積ご依頼・資料ご請求もこちらからお気軽に!