ファイル転送サービスの仕組みとリスクについて | ファイル転送サービス導入アドバイス

ファイル転送サービスの仕組みとリスクについて | ファイル転送サービス導入アドバイス

イントロダクション

「ファイル転送サービス」というものの存在は情シスになってはじめて知りました。

プロフィールにも記載していますが、私の前職はSEでした。
システム系の企業は総じてセキュリティには細心の注意を払います。
セキュリティの甘いシステム屋には、業務機密も扱う自社のシステムを任せられません。
ウィルス感染、情報漏えいに対してはもちろん、業務情報=全て機密事項。
紙媒体の持ち出しも上司承認を受け、持ち帰り or 廃棄の確認までしていました。
言ってみれば無菌状態のセキュアな環境で十数年仕事をしていました。

ファイル転送サービスの存在と利用方法を知った時はカルチャーショックでした。

「誰も知らんうちに業務情報送り放題やん!」
「セキュリティも送信保障も誰もしてくれへんやんか!」
「こんなんで業務データ授受って、正気の沙汰ちゃうぞ!」
「お客さんとか取引先とかこれ受け取ってくれてんのんか!?」

よくわからない関西弁っぽくなるくらいショックでした。

というわけで、今回はファイル転送サービスについてお話していきたいと思います。
最終的にセキュアなサービスを導入するところまでの話になります。

ファイル転送サービスとは

スポンサーリンク

まずそもそも「ファイル転送サービス」とは何ぞやという話からです。
ご存知の方もいらっしゃるかと思うので、ざっくり概要だけ触れます。

メールに資料やらデータを添付して送ることがあると思います。
しかしあまり大きなサイズのファイルだとメールでの送付は困難です。

・メールサーバのファイルサイズ制限にひっかかるので送れない。
・受取側で受信に時間がかかりすぎて迷惑がかかる。
(他のメールが受信できない、通信が遅くなる等)

数GBレベルになると、さすがに外部媒体(DVD等)渡しになるかと思います。
ただ、数十MBくらいになると、ちょっと迷うかもしれません。
一昔前と比べると、パソコン上で扱うファイルサイズはかなり大きくなっています。
写真のデータなんか解像度が飛躍的に上がり、それに伴いファイルサイズも大きくなっています。
業務利用で送るわけですから1枚2枚の話では無い場合があります。

そんな時に、利用するのがファイル転送サービスです。
おおまかに使い方と仕組みを説明をします。


<使い方>
1.【送信側】ブラウザからファイル転送サービスにファイルをアップロードする
2.【送信側】相手先のメールアドレスを記入して送信ボタンを押す
3.【受信側】ファイル転送サービスからメールが届く
4.【受信側】メールに張り付けてあるURLをクリックする
5.【受信側】ファイルがダウンロードされる

これでメールに直接ファイルを添付せずに相手にファイルを届けることができます。
アップロード可能なファイルサイズも大きいことが多いです。

ファイル転送サービスには無料でサービス提供しているものがあります。
代表的なものは以下の通りです。

・オージス総研「宅ふぁいる便
・ロジックファクトリー「firestorage
・nu-face hosting service「GigaFile便

ファイル転送サービス(無料)のリスク

ファイル転送サービスの何にショックを受けたのか。
それは以下に記載したようなリスクがあることです。

社内のファイルが外部に送られ、履歴が残らない

メールサーバは基本的に送受信のログ等で送り先、送付内容等を把握することができます。
全件見ているかどうかは別にしろ、後から追いかけることが可能です。
しかしブラウザからアップロードされたとなると追いかけようがありません。
メールのような送信の履歴が無いため、送ったかどうか本人すら確認できません。
誤送信だったかどうかもわからないのです。
情報漏えいリスクの高さはメールよりもかなり高いことがわかります。

送信が保障されない

メールはプロトコルの性質から相手がメールを受信したことを保障できます。
SMTPトランザクションが”250 OK”を受け取れば、メールボックスまで到達しています。
しかしファイル転送サービスで送信者が行うのはファイルをアップロードするまで。
そのファイルが確実に届けられるかは保障されていません。
「宅ふぁいる便」の利用規約には以下記載があります。

「送信されるメールの送受信状態に関して、自己の責任においてリスクを負担することに
同意の上、本サービスを利用するものとします。」

実際にメールが届かないのかと言われると、基本的には届きます。
ただ、届かなかった時に誰も保障してくれません。
また、届かなくはないまでも、送信遅延も起こります。

データが格納されているのは共有ストレージ

図にあるようにファイルがアップロードされているのは共有ストレージです、恐らく。
「恐らく」としたのは、明記はされていないからです。
しかし無料サービスで利用者毎のストレージは割り当てられないでしょう。
なのでほぼ確実に共有ストレージです。
様々な人がアップロードしたファイルが混在しています。
どんなファイルがあるかわかりません。
悪意のあるプログラムによって、データが盗まれたり、改ざんされるかもしれません。

リスクがあるなら規制する、と簡単にはいかない

スポンサーリンク

とりあえず思いついたリスクを列挙してみました。
これだけでも業務利用に不適切だと思っていただける、、、と信じています。

ではアダルトサイトとかと同じように閲覧規制してしまえばいい!
と、簡単にいかないのがこのサービスの難点です。

大多数の利用者は情報漏えいさせたくて利用しているのではありません。
データを送信したいから利用しているのです。

利用できなくするからには、代わりにどうすればいいか提示する必要があります。
また、利用は社内からの送信だけに限りません。
社外から送られてきたものを受信する場合もあります。
相手先にも「こうやって送ってください」を依頼しなくてはいけません。

前述のリスクが回避できて、代替手段として社内外に提示できるもの。
私が実際に行ったのはセキュリティが確保された有償ファイル転送サービスの導入でした。
「ファイル共有サービス」と言うのが正しいですが、本質的な利用方法が同じなので、
今回は「ファイル転送サービス」に統一します。

「有償」となると別の問題がでてきます。
平たく言えば、どうやって稟議を通すかです。
投資対効果の低いもの、よくわからないものにお金は出せません。
セキュリティ対策は投資順として後回しにされる傾向があります。

次回以降その辺も含めてお話していきたいと思います。

参考にしたサイト

SMTPとメールの到達性|SendGridブログ

セキュリティカテゴリの最新記事