ファイル転送サービスでURLをクライアントに送ったとき、「このリンク、他の人も見られますか?」と聞かれ、その時、初めて「セキュリティ設定を何もしていなかった」ことに気づきました。
URLを知っている人なら誰でもアクセスできる設定になっていた。冷や汗が出る瞬間でした。
セキュリティ設定なしだと何が起きるのか
URLを知っている人なら誰でもダウンロードできる
ファイル転送サービスの中には、セキュリティ設定をせずに送信できるものがあります。
この場合、URLさえ知っていれば誰でもファイルをダウンロードできる状態になります。
もし送った相手が意図せずURLを転送・共有してしまうと、まったく関係のない第三者がファイルを閲覧できてしまう可能性があります。
URLがメール本文に残り続ける
メールでURLを送った場合、そのメールは相手のメールボックスに残ります。担当者が退職したり、メールが流出したりした場合、URLからファイルに辿り着かれるリスクがあります。パスワードや認証が設定されていなければ、アクセスを防ぐ手段はありません。
「誰かに見られたかもしれない」という不確かさが残る
万が一問題が起きたとき、「誰がダウンロードしたか」を確認できる仕組みがなければ、漏洩の有無すら分からないまま終わってしまいます。クライアントへの報告も原因究明もできず、信頼を大きく損なう可能性があります。
なぜセキュリティ設定を忘れてしまうのか
「急いでいたから」が一番多い理由
納品期限が迫っているとき、セキュリティの設定を後回しにして、とにかくURLを発行してしまうことがあります。「今回は社内メンバーだけだから大丈夫」と判断して設定を省いた結果、思わぬ形でリスクになることがあります。
「これくらいなら大丈夫」という感覚のズレ
設計図・契約書・未公開の資料など、一見「大したことない」と感じるファイルでも、受け取り側にとっては機密情報になる場合があります。送る側の感覚と、受け取る側の受け取り方にズレがあることも、ヒヤリハットの原因になります。
対策:セキュリティ設定を習慣にする
認証ありの設定を「デフォルト」にする
ファイルを送るときは、パスワードや認証コードを設定することを基本ルールにしましょう。
「今回は省略してもいい」と判断する前に、設定する手間と、情報漏洩のリスクを比べてみてください。
有効期限を短めに設定する
ダウンロードが完了したら、URLにアクセスできる期間(有効期限)を短くしておくと、後からURLが悪用されるリスクを減らせます。
「期限が過ぎたら自動的にアクセスできなくなる」という設定は、万一のときの安全策になります。
送り方のルールをチームで共有する
「どのファイルを送るときに、どんなセキュリティ設定を使うか」をチーム内でルール化しておくと、担当者によるばらつきをなくせます。重要なファイルほど、設定を統一しておくことが大切です。
まとめ
セキュリティ設定なしでファイルを送信すると、「URLを知っている人なら誰でも見られる」状態になります。急いでいるときほど、設定を忘れがちです。
- セキュリティ設定なしでは、URLさえあれば誰でもアクセスできる
- メールに残ったURLは、後から第三者に渡るリスクがある
- 認証設定と有効期限の活用を、送り方のルールとして習慣化する
オクルリンクなら、こんな心配は、ありません。2段階認証で、あなのたファイルを守ります。