クラウドストレージサービスは、ストレージ容量が豊富で、ファイル共有機能が備わり、転送可能なファイルサイズも最大で10Gバイト程度と、大容量のファイルのやり取りをするのに有効な手段です。
共有されたファイルは、クラウドストレージサービス側が用意したファイルタイプに合わせた所定のアイコンで表示されるので、標的型メール攻撃に用いられるアイコン偽装は通用しません。共有されたファイルは、一旦はプレビュー機能で参照できることが多く、その段階ではマクロを利用したマルウェア感染手口も発生しません。
また、クラウドストレージサービスにより、ファイル共有のログの追跡も容易になります。メールは、添付ファイルの有無に関わらず大量のログが記録されています。送信履歴から、“いつ”“誰に”“何(ファイル)を”共有したのか追跡するのは、ファイル共有に特化したクラウドストレージサービスに比べて、圧倒的に困難です。
また、当然招待した人だけが認証プロセスを経た後に、共有フォルダにアクセスできるようになるので、メールアドレスの表示上のなりすましといった初歩的な偽装方法も通用しません。
これらの理由により、マルウェア感染のリスクに対して、クラウドストレージサービスはメールより安全だと言えます。しかし、クラウドストレージサービスの利用に伴い、新たな問題も発生しています。
IT部門の同意を得ない個人向けクラウドストレージサービスの利用
そもそも、クラウドストレージサービスは、デジタルカメラ、スマートフォンの普及で増加したサイズの大きなマルチメディアデータのデータの保存先として、個人向けのサービスとして普及してきました。今現在、世の中には無料で使用できる個人向けクラウドストレージサービスは多数あります。
簡単な手続きで利用開始でき、しかも無料もしくは低コストで運用できるため、国内でも利用者数は増え続けています。この簡便さ故に、IT部門に相談せずに、個人向けクラウドストレージサービスのファイル共有機能を、顧客、パートナー企業、外注先とのファイルの交換に利用する人が現れてきたのです。
メールシステムで添付ファイルのサイズに制限をかけているなどしている企業の場合、外部の企業と大きなサイズのファイルの受け渡しに苦戦している現場担当者としては、ビジネスのスピードアップにもつながり、会社に金銭的な負担をかけないので、IT部門の了解を得ずに個人向けのクラウドストレージサービスを利用してしまったとしても、無理はありません。
こうした流れに、企業のIT部門側でもURLフィルタリングで個人向けのクラウドストレージサービスへのアクセスを禁止したり、外注先に対するセキュリティ教育で、個人向けクラウドストレージサービス利用時の注意を促す動きも出てきました。
個人向けサービスの多くは、共有ファイルやフォルダのURLを知らせるだけで、誰でもアクセスが可能になる機能を備えています。認証も不要でアクセス制御できません。こうしたアクセス制御のないファイル共有機能を使われてしまうと、悪意のある攻撃とは別の情報の漏洩リスクが高まるため、法人が一斉に利用を禁止したくなる気持ちも理解できます。
とはいえ、メール添付によるセキュリティのリスクと、業務効率のことを考えれば、クラウドストレージサービスは導入すべきです。一方的に利用を禁止すれば、現場の利用者とIT部門との間で溝を作ってしまうことにもなりかねません。