ネットワークセキュリティの要諦

標的型攻撃メール対策としてのクラウドストレージ - (page 2)

広瀬 努 2016年11月22日 07時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 クラウドストレージサービスは、ストレージ容量が豊富で、ファイル共有機能が備わり、転送可能なファイルサイズも最大で10Gバイト程度と、大容量のファイルのやり取りをするのに有効な手段です。

 共有されたファイルは、クラウドストレージサービス側が用意したファイルタイプに合わせた所定のアイコンで表示されるので、標的型メール攻撃に用いられるアイコン偽装は通用しません。共有されたファイルは、一旦はプレビュー機能で参照できることが多く、その段階ではマクロを利用したマルウェア感染手口も発生しません。

 また、クラウドストレージサービスにより、ファイル共有のログの追跡も容易になります。メールは、添付ファイルの有無に関わらず大量のログが記録されています。送信履歴から、“いつ”“誰に”“何(ファイル)を”共有したのか追跡するのは、ファイル共有に特化したクラウドストレージサービスに比べて、圧倒的に困難です。

 また、当然招待した人だけが認証プロセスを経た後に、共有フォルダにアクセスできるようになるので、メールアドレスの表示上のなりすましといった初歩的な偽装方法も通用しません。

 これらの理由により、マルウェア感染のリスクに対して、クラウドストレージサービスはメールより安全だと言えます。しかし、クラウドストレージサービスの利用に伴い、新たな問題も発生しています。

IT部門の同意を得ない個人向けクラウドストレージサービスの利用

 そもそも、クラウドストレージサービスは、デジタルカメラ、スマートフォンの普及で増加したサイズの大きなマルチメディアデータのデータの保存先として、個人向けのサービスとして普及してきました。今現在、世の中には無料で使用できる個人向けクラウドストレージサービスは多数あります。

 簡単な手続きで利用開始でき、しかも無料もしくは低コストで運用できるため、国内でも利用者数は増え続けています。この簡便さ故に、IT部門に相談せずに、個人向けクラウドストレージサービスのファイル共有機能を、顧客、パートナー企業、外注先とのファイルの交換に利用する人が現れてきたのです。

 メールシステムで添付ファイルのサイズに制限をかけているなどしている企業の場合、外部の企業と大きなサイズのファイルの受け渡しに苦戦している現場担当者としては、ビジネスのスピードアップにもつながり、会社に金銭的な負担をかけないので、IT部門の了解を得ずに個人向けのクラウドストレージサービスを利用してしまったとしても、無理はありません。

 こうした流れに、企業のIT部門側でもURLフィルタリングで個人向けのクラウドストレージサービスへのアクセスを禁止したり、外注先に対するセキュリティ教育で、個人向けクラウドストレージサービス利用時の注意を促す動きも出てきました。

 個人向けサービスの多くは、共有ファイルやフォルダのURLを知らせるだけで、誰でもアクセスが可能になる機能を備えています。認証も不要でアクセス制御できません。こうしたアクセス制御のないファイル共有機能を使われてしまうと、悪意のある攻撃とは別の情報の漏洩リスクが高まるため、法人が一斉に利用を禁止したくなる気持ちも理解できます。

 とはいえ、メール添付によるセキュリティのリスクと、業務効率のことを考えれば、クラウドストレージサービスは導入すべきです。一方的に利用を禁止すれば、現場の利用者とIT部門との間で溝を作ってしまうことにもなりかねません。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]