「夏のセキュリティ特集」第2回:見落とされがちな“クラウドの扉”
夏休みを前に、情シスやセキュリティ担当にとっては一段と注意が必要な時期。
本シリーズでは、夏季休暇中に増えやすいセキュリティリスクとその対策をテーマごとにお届けしています。
前回は「私物デバイスやシャドーITのリスク」について解説しましたが、
今回注目するのは、クラウドストレージの“設定ミス”による情報漏えいです。
Google Drive、Box、OneDriveなど、日常的に使っているクラウドサービスは、
設定一つで「社内限定」が「誰でも閲覧可能」になってしまう危うさを秘めています。
特に休暇前、「外出先でも確認できるように」と共有設定を変更した結果、情報が外部に漏れていたという事故は後を絶ちません。
クラウドサービスの「共有設定」、ちゃんと確認できてる?
多くのクラウドサービスでは、以下のような複数の公開レベルが用意されています:
- 社内の特定メンバーだけ
- 同じドメイン内の全員
- リンクを知っていれば誰でもアクセス可(社外含む)
- 完全にインターネット上に公開
一見「リンクを知っている人だけ」なら問題なさそうですが、
この設定はURLが流出した瞬間に“全世界からのアクセスを許可”している状態になります。
また、サービスによっては共有リンクの初期設定が「社外OK」になっている場合もあり、
意図せず“誰でも見られる状態”で資料を共有してしまう事故も多く発生しています。
ありがちな設定ミスと実際の事故例
✅ よくあるパターン:
- 社内限定のつもりが「リンクを知っていれば誰でも」に設定されていた
- 上層のフォルダが公開になっており、下層のファイルも丸見えだった
- 個人アカウントと社用アカウントの使い分けが曖昧になっていた
- 本番データを誤って公開フォルダに保存していた
✅ 実際にあった事故:
- 外注業者と共有した資料が、そのままWeb検索にヒット
- 従業員が「社内資料一式」を自分のGoogle Driveに保存 → 公開状態に
- 名刺データ・売上データ・採用候補者の履歴書が外部に流出
こうした事故は、悪意ではなく“無意識”に発生しているのが特徴です。
今すぐチェック!クラウド設定のセルフチェックリスト
休暇前、業務の引き継ぎや資料共有が増えるこのタイミングで、次のポイントを確認してみましょう。
□ 社外との共有リンクは「閲覧のみに制限」されているか?
□ 「誰が」「何に」アクセスできるか把握できているか?
□ 特定フォルダ・ファイルに不適切な公開設定がされていないか?
□ 利用しているサービスの初期共有設定を把握しているか?
□ 個人アカウントで業務ファイルを扱っていないか?
可能であれば、一括で共有状況を可視化できるツールや、
CASB (Cloud Access Security Broker)のようなサービスの導入も検討しておくと安心です。
まとめ
休暇前のひと手間が、重大インシデントを防ぐ
クラウドは便利だからこそ、「設定の落とし穴」が思わぬ形で表に出ることがあります。
夏休み前は、業務効率化を優先して設定が甘くなりがちなタイミング。
だからこそ、“ちょっとした見直し”が事故を未然に防ぐ最大の対策です。
「設定ミスに気づいたのは社外から指摘されたあとだった」――
そんなことにならないよう、今このタイミングで点検しておきましょう。