取引先に送ったファイルのURLが、担当者とは別の人に転送された——そう気づいたとき、どれほど焦るか想像したことがあるでしょうか。ファイル転送のリスクは「起きてから気づく」ものです。
この記事では、URLを使ったファイル共有で起こりうるヒヤリハットのシーンと、その対策をご紹介します。
こんなヒヤリ、ありませんか?
ファイル転送でよくあるヒヤリハットのシーンを見てみましょう。
URLをメールで送ったら転送されていた
取引先の担当者にファイルのURLを送ったところ、その担当者とは別の人にメールを転送していたというケースです。転送されたメールを受け取った人がURLを開いてしまうと、意図しない相手にファイルが渡ることになります。
チャットの画面を第三者に見られていた
打ち合わせ中にチャット画面を共有した際、URLが画面に表示されていた。あるいは、カフェや公共の場所で作業中に、画面を覗き見されていた。URLを視認されるだけで、ダウンロードできる状態になっているサービスでは、これがリスクになります。
「誰でも開けるURL」を送っていたと後から気づいた
ファイル転送サービスによっては、URLにアクセスするだけで誰でもダウンロードできる仕組みになっているものがあります。「便利だから」と使い続けていたが、よく調べたらパスワードや認証が一切なかった——というケースは珍しくありません。
なぜURLの拡散がリスクになるのか
URLが漏れることそのものより、問題は「URLを知っていれば誰でもダウンロードできる状態」かどうかです。
認証のないファイル転送サービスを使っている場合、URLさえ知っていれば誰でもファイルにアクセスできます。つまり、URLが転送・拡散・漏えいしたとき、その時点でファイルも漏えいしてしまう可能性があります。
社外秘の資料・契約書・個人情報が含まれるファイルをこのような方法で共有することは、情報漏えいのリスクと隣り合わせです。「URLを知っている人だけが相手」という前提が崩れた瞬間、取り返しのつかない事態になりえます。
URLだけでは開けない仕組みが重要
このリスクへの対策として最も有効なのが、「URLを知っていてもダウンロードできない仕組み」を用意することです。
パスワード認証
URLにアクセスした後、パスワードを入力しないとダウンロードできない仕組みです。URLが漏れても、パスワードを知らない相手はファイルにアクセスできません。
ただし、URLとパスワードを同じメールや同じチャットで送ってしまうと、両方まとめて漏れるリスクがあります。パスワードは必ず別の手段(電話・別のメール・別のチャットツールなど)で伝えるようにしましょう。
ワンタイムパスワード認証
ワンタイムパスワードは、一度しか使えない使い捨てのパスワードです。ダウンロード時にメールなどで送付され、その場で入力して認証します。パスワードが漏れても再利用できないため、より高いセキュリティを確保できます。
メールアドレス指定による認証
送る側があらかじめ受け取る側のメールアドレスを指定しておく仕組みです。指定したメールアドレス以外からはアクセスできないため、URLが拡散しても関係のない人はダウンロードできません。
複数の認証を組み合わせることで、URLが漏れた場合のリスクを大幅に下げることができます。扱うファイルの機密性に応じて、認証の強度を使い分けることが大切です。
まとめ
ファイル転送のリスクは、URLそのものではなく「URLだけでアクセスできる状態」にあります。社外秘のファイルを扱う際は、以下の点を意識してサービスを選びましょう。
- パスワードやワンタイムパスワードによる認証があるか
- 受け取る側のメールアドレスを指定できるか
- URLと認証情報を別々の手段で伝えているか
「URLを送るだけ」の手軽さと引き換えに、セキュリティが犠牲になっていないか、一度見直してみることをおすすめします。
オクルリンクは、パスワードと認証コードを組み合わせた、URLだけではダウンロードできない仕組みを備えています。