クラウドストレージを用いた社外とのファイル共有の実態

企業の業務では、社外の関係者とファイル共有を行う場面があります。ファイルの種類としては、例えば設計書や作業指示書、見積書、契約書などが挙げられるでしょう。

社外とのファイル共有の手段としては、ファイル転送サービスやファイルサーバー、NAS、メール添付などさまざまなものがありますが、近年、採用されるケースが増えているのがクラウドストレージです。

クラウドストレージは、インターネット上でデータを保管・管理できるサービスで、「場所を問わずアクセスできる」「大容量ファイルも扱いやすい」「複数人での同時編集ができる」などのメリットがあります。代表的なサービスとしては、「Microsoft OneDrive」「Google Drive」「Box」「Dropbox」などが広く知られています。

ファイル共有の運用方法としては、対象ファイルをクラウドストレージ上の特定のフォルダにアップロードし、共有リンク（アクセス権や有効期限などが付与された専用のURL）を発行して、メールなどで共有相手に送付する、という形が一般的でしょう。

ピー・シー・エー株式会社は2025年8月、クラウドストレージを利用しているバックオフィス業務担当者を対象に、ファイル共有に関する調査を実施しました。

「社外の人とファイルを共有する頻度を教えてください」という質問では、「ほぼ毎日」という回答が17.8%、「週に数回」という回答が41.1%でした。

※出典：ピー・シー・エー株式会社「ファイル共有システムに関する実態調査」

また、「ファイル共有時に最も重要視する点を教えてください」という質問では、「セキュリティ・安全性」という回答が40.7%で最多でした。※この質問の対象者は、先の質問で「ほとんどない」「全くない」以外の回答をした方です。

※出展：ピー・シー・エー株式会社「ファイル共有システムに関する実態調査」

以上の内容から、社外とのファイル共有は日常的に行われており、その際はセキュリティが強く意識されている実態がうかがえます。

社外とのファイル共有に潜むセキュリティリスク

クラウドストレージを用いた社外とのファイル共有――。そこに潜むセキュリティリスクを考えるうえで最初に押さえておきたいのが、「クラウドストレージそのものに欠陥があるわけではない」という点です。

多くのサービスでは、次のようなセキュリティに関連する機能が標準で備わっています。

[アクセス管理]
・共有範囲制限
・IPアドレス制限
・デバイス制限
・パスワード設定

[操作管理]
・編集権限管理
・ダウンロード権限管理
・有効期限設定

[データ保護]
・通信経路暗号化
・ファイル暗号化
・ウイルススキャン

[ログ管理]
・アクセスログ管理
・操作ログ管理

※名称や具体的な仕様はサービスによって異なります。
※サービス側で自動的に実行される機能と、ユーザー自身で設定・管理すべき機能があります。

基本的には、これらの機能を適切に利用することで、高い安全性を確保できます。

実は、クラウドストレージ利用時に発生するセキュリティ上の問題の多くは、サービス自体の欠陥ではなく、運用ルールの不備や設定ミスに起因しています。例えば、共有範囲を適切に制限しなかったことにより、本来アクセスすべきでないユーザーが機密情報などにアクセスしてしまう、といったケースが挙げられます。

社外とのファイル共有において最低限徹底すべき送り方

それでは、クラウドストレージで社外とのファイル共有を行う際の具体的なセキュリティ対策を紹介します。最低限徹底すべき送り方として、次の7つのポイントを押さえることを推奨します。

①共有範囲制限

まず、ファイルの共有範囲を明確に制限します。「誰でも見られる状態」は非常に危険です。「特定ユーザーのみ」「プロジェクトメンバーのみ」など、必要最小限に留めることを原則としましょう。

②パスワード設定

共有リンクにはパスワードを設定します。共有リンクの誤送信やメール内容の盗み見が発生した場合でも、パスワードが設定されていれば不正アクセスのリスクを低減できます。

③編集権限管理

編集権限は適切に管理します。編集権限を安易に付与することには、データの改ざんや消失といったリスクが伴います。「閲覧のみ」「コメント可」「編集可」などの権限を適切に使い分けることが重要です。

④ダウンロード権限管理

編集権限に加え、ダウンロード権限も適切に管理します。ダウンロード権限を安易に付与することには、意図しない再配布や、端末の紛失・盗難による情報漏洩といったリスクが伴います。もちろん、画面キャプチャなどは可能なわけですが、それでもリスクを抑え、インシデントの発生確率を下げる効果は期待できます。

⑤有効期限設定

共有リンクには有効期限を設定します。ファイル共有の必要性は多くの場合一時的なもので、取引終了後もアクセスできる状態は不要なリスクを抱え続けることになります。

⑥ウイルススキャン

ウイルススキャンを必須とします。多くのサービスでは、ファイルのアップロード時に自動でウイルススキャンする機能を備えていますが、すべてのサービスに備わっているわけではありません。そのため、自社で利用しているサービスの仕様を把握しておくことが重要です。また、標準機能として備わっている場合でも、「有効化されているか」「対象外のファイル形式はないか」を確認しておく必要があります。

⑦ログ取得設定

万が一に備え、アクセスログや操作ログを取得できるように整えておきます。「いつ」「誰が」「どのファイルに」「どのような操作を行ったか」を追跡できる状態にしておくことで、インシデント発生時の原因究明などに役立ちます。

筆者の体験談：「最低限のセキュリティ対策」は現実的な戦略

クラウドストレージで社外とファイル共有を行う際の、最低限徹底すべき送り方として、次の7つをお伝えしました。

・共有範囲制限
・パスワード設定
・編集権限管理
・ダウンロード権限管理
・有効期限設定
・ウイルススキャン
・ログ取得設定

他にも、IPアドレス制限、デバイス制限、承認フローの導入などがありますが、まずは上記7つを最低限実施することをおすすめいたします。

実は、「最低限」という言葉を使っている点には理由があります。ここで、筆者自身の体験を紹介させていただきます。

私は以前、某企業でITエンジニアとして働いていました。当時、「セキュリティ面を完璧にする」「他のプロジェクトの見本となるものにする」という方針を掲げたプロジェクトがありました。きっかけは、同業他社の相次ぐセキュリティ事故です。

考えうる対策をすべて洗い出し、細かなルールを定め、厳密な手順書を作成し、複数段階の承認フローを組み込む――。理想的ではありますが、結果的にはうまく回りませんでした。ルールが複雑で覚えきれなかったり、通常業務が滞りがちになったりして、いつの間にか形骸化してしまったのです。

そこで方針を大きく見直しました。完璧を目指すのではなく、まずは最低限を徹底するという考え方に切り替えたのです。すると、不思議なことにスムーズに運用が回り始めました。さらに、最低限の取り組みが定着すると、「次はここも改善しよう」といった前向きな声が生まれるようになり、段階的にレベルアップしていく流れも自然とできあがりました。土台が安定してはじめて、継続的な改善が現実的になるのでしょう。

この体験を通じて、「完璧を目指すよりも、最低限を確実に実施する方が、結果的にうまくいくこともある」という学びを得ました。

もちろん、ケースバイケースだとは思います。業務の内容や規模、社内システム、社風などによって最適解は異なるでしょう。しかし、情シスとしては、理想だけでなく現実も見据え、両者のバランスを取ろうとする視点が欠かせないのではないでしょうか。

まとめ

クラウドストレージは、社外とのファイル共有を行ううえで便利な手段ですが、一方で、運用ルールの不備や設定ミスが、大きなセキュリティインシデントにつながることもあります。

そこで本記事では、最低限徹底すべき送り方として、「共有範囲制限」「パスワード設定」「編集権限管理」「有効期限設定」など7つのポイントをお伝えしました。これらを確実に実施するだけでも、社外とのファイル共有におけるリスクは大きく低減できます。

社外とのファイル共有は、多くの企業にとって日常業務の一つです。安全かつ効率的に行えるように、仕組みやルールを整備・定着させていくことが、情シスに求められる役割といえるでしょう。本記事が、社外とのファイル共有の在り方を見直すきっかけとなれば幸いです。

（TEXT：松下一輝、編集：藤冨）

特集｜月曜日の朝にお送りする
「情シス『目』ニュース」

月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。

本特集はこちら