ついにやってしまいました。宅ふぁいる便。
1.現時点で漏洩が確定したお客さま情報 (下線部分は新たに漏洩が確定した情報)
(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
・氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません。
報道では「パスワードも漏洩」とあるため、IDとパスワードを他のサービスでも使いまわししている方は速やかに変更するようにしてください。
企業間のデータ転送に宅ふぁいる便を使っていた方はさぞかし心配なことでしょう。
現時点で利用者がアップロードしたファイルが漏洩したとの情報はありませんが、業務情報が第三者の手に渡っていたとしたら大変なことです。
今回はデータ転送サービスの危険性とセキュリティが強固とされるデータ転送サービスについて記事にしたいと思います。
ファイル転送サービスとは
ファイル転送サービスは主に大容量のファイルをやり取りするためのサービスです。
メールだとサーバーやメールクライアントの容量制限、回線の帯域などの関係で大容量ファイルのやり取りが行えないことがあり、そのようなケースで使用されるのが一般的です。
昨今、情報漏洩事象が多発していることもあり、各社が展開するファイル転送サービスは、セキュリティに関して十分に配慮しています。
それは宅ふぁいる便も同様だったと思うのですが、今回このような事象が発生してしまいました。
出典:オージス総研
こちらは宅ふぁいる便を運営しているオージス総研のホームページから引用した画像。
日本でファイル転送サービスといえば宅ふぁいる便というくらい名の知れたサービスだったため、各自治体や大手メーカーも利用していました。
個人向けの無料版があるなど利用者の幅が広いのも特徴です。
わたしは宅ふぁいる便を使ったことがありませんし、利用したいという方にもおすすめはしていませんでした。
宅ふぁいる便は「不特定多数の人が使う無料サービス」というイメージが強く、「情報流出しても何の責任も取ってくれない」という固定概念があったからです。
実際にファイル転送機能としては問題なかったのかもしれません。
しかし、顧客情報の取り扱いが「無料サービスレベル」だったのではないでしょうか。
少し言い過ぎかな(汗)
おすすめの企業向けファイル転送サービス
ファイル転送サービスは自社にサーバーを持たないクラウド型と自社にサーバーを設置するオンプレミス型があります。
なお、宅ふぁいる便はクラウド型の部類に属します。
以下にそれぞれのメリット・デメリットをまとめます。
| クラウド型 | オンプレミス型 | |
|---|---|---|
| メリット |
|
|
| デメリット |
|
|
クラウド型ファイル転送サービス
手軽に使うことができるクラウド型のファイル転送サービス。
自社にて十分なセキュリティ管理が行えないのであれば、こちらの方が安全且つ安価です。
大塚商会「どこでもキャビネット」
大塚商会の企業向けオンラインストレージサービス「どこでもキャビネット」はコストとセキュリティの両面においてとても優れています。
ファイル転送のみでなくオンラインストレージとしても機能するため、会社内外から同一の資料を参照したいといったニーズにも応えることが可能です。
- 国内データセンター利用
大塚商会が運営する国内のデータセンターを利用しており、物理的な安全度も高い - IPアドレス制限
接続元IPアドレスの制限がかけられ、身元の確かな人以外アクセスできないクローズドの環境を用意することか可能 - アクセス履歴
誰がいつアクセスしたのか、ファイルの閲覧やダウンロードの履歴を管理画面で確認することが可能 - ウイルスチェック
データをオンラインストレージへ登録する際、ウイルスチェックが自動実行される - パスワード管理
パスワードポリシー設定や、パスワード有効期限の設定が可能 - 多要素認証(セキュア版のみ)
ID/パスワードによる認証に加え、クライアント証明書による端末認証を行うことが可能
大塚商会独自のデータセンターを使用しているところはとても大きいと思います。
誰がどのようなメンテナンスをしているかもわからないような場所にサーバーがあるのではちょっと心配ですよね(汗)
また、IPアドレス制限による制限がかけられるところも良いですね。
自社と取引先企業のグローバルアドレスを入れておけば、アクセス可能な範囲をかなり狭めることができます。
いくつかあるプランの中、セキュア版というプランは多要素認証も実装可能です。
今の時代、多要素認証でないと、安心して使えません。
プランが選べるので、様々な規模の企業にマッチします。
利用容量が少ないプランは価格も安く、中小企業や部門での導入もしやすいのではないでしょうか。
大塚商会「どこでもキャビネット」の詳細については、大塚商会のホームページでご確認ください。
FUJIFILM「SECURE DELIVER(セキュアデリバー)」
「SECURE DELIVER(セキュアデリバー)」は最近デジタルデータ管理の分野に力を入れているFUJIFILM(富士フィルム)が展開する企業向けファイル転送サービス。
同社のファイル共有サービス「IMAGE WORKS(イメージワークス)」のファイル転送機能のみを特出し、さらに機能を強化した製品です。
- 国内データセンター利用
富士フイルムが運営する国内のデータセンターを利用しており、物理的な安全度も高い - IPアドレス制限
接続元IPアドレスの制限がかけられ、身元の確かな人以外アクセスできないクローズドの環境を用意することか可能 - アクセス履歴
誰がいつアクセスしたのか、ファイルの閲覧やダウンロードの履歴を管理画面で確認することが可能 - ウイルスチェック
データをオンラインストレージへ登録する際、ウイルスチェックが自動実行される - パスワード管理
パスワードポリシー設定や、パスワード有効期限の設定が可能 - 多要素認証
ID/パスワードによる認証に加え、クライアント証明書による端末認証を行うことが可能 - 脅威・リスク対策
自社だけでなく第三者機関によるプラットフォーム・アプリケーションを中心としたぜい弱性の診断・対策を実施
大塚商会同様、自社データセンターでの運用、IPアドレス・クライアント証明書による接続制限もかけられます。
また、第三者機関による脆弱性検査を実施しているところも大きなポイントです。
外部から実際に攻撃をしかけてみて、侵入などが行えないことを確認します。
こちらもセキュリティ面で何も言うことがありません。
問題は費用面ですかね(汗)
FUJIFILM「SECURE DELIVER(セキュアデリバー)」の詳細については、富士フィルムのホームページでご確認ください。
NRIセキュア「クリプト便」
各種情報セキュリティサービスを展開するNRIセキュアの「クリプト便」は国内シェアNo.1ともいわれているファイル転送サービス。
そのセキュリティレベルはとても強固なもので、同サービスは情報セキュリティ格付けで最高ランクを獲得。
セキュリティを取り扱う会社ですから、情報漏洩とか起こしてられませんよね(笑)
- IPアドレス制限
接続元IPアドレスの制限がかけられ、身元の確かな人以外アクセスできないクローズドの環境を用意することか可能 - アクセス履歴
誰がいつアクセスしたのか、ファイルの閲覧やダウンロードの履歴を管理画面で確認することが可能 - ウイルスチェック
データをオンラインストレージへ登録する際、ウイルスチェックが自動実行される - パスワード管理
パスワードポリシー設定や、パスワード有効期限の設定が可能 - 多要素認証
ID/パスワードによる認証に加え、クライアント証明書による端末認証を行うことが可能 - 脅威・リスク対策
自社内のセキュリティのエキスパートによりぜい弱性の診断・対策を実施
特に外的セキュリティの確保について、その技術力の高さに期待が持てます。
自社内チームがあり、セキュリティ対策が内部のみで完結するというのがこのサービスの強みだと思います。
それだけ迅速な対応が行えるということですもんね。
宅ふぁいる便と比較しては失礼かもしれませんが、少なくとも今回のような失態は起こさないでしょう(汗)
オンプレミス型ファイル転送サービス
自社にファイル転送サーバーを設置するオンプレミス型。
手元にデータがあるという安心感が魅力です。
Soliton「FileZen(ファイル・ゼン)」
各種セキュリティ製品を販売するSolitonのファイル転送サーバー「FileZen」はハードウェアに既にソフトウェアが組み込まれているいわゆるアプライアンス製品。
オンプレミスは管理が大変というイメージですが、FileZenであれば導入や管理が比較的容易です。
- IPアドレス制限
接続元IPアドレスの制限がかけられ、身元の確かな人以外アクセスできないクローズドの環境を用意することか可能 - アクセス履歴
誰がいつアクセスしたのか、ファイルの閲覧やダウンロードの履歴を管理画面で確認することが可能 - アーカイブ機能
アクセス履歴の他、やり取りしたファイル本体も保管することが可能 - ウイルスチェック
データをオンラインストレージへ登録する際、ウイルスチェックが自動実行される - パスワード管理
パスワードポリシー設定や、パスワード有効期限の設定が可能 - 多要素認証
ID/パスワードによる認証に加え、クライアント証明書による端末認証を行うことが可能
オンプレミス型は自前であるが故に柔軟な監査が行えるため、有事の際の影響確認が取りやすいことも特徴の一つです。
アーカイブ機能を使ってファイル本体を保管しておけば、ファイル名だけでなくその内容まで確認することが可能となります。
皆さんファイル名を適当につけるので、そこからだけでは判断できないんですよね(汗)
Soliton「FileZen」の詳細については、Solitonのホームページでご確認ください。
まとめ
クラウド型のサービスを使うということは、その運営会社に大切なデータを預けるということ。
企業としての信頼度はもちろん、有事の際の対応能力の有無も重要なポイントとなります。
今回ご紹介したクラウド型サービスは全て国内大手メーカーの手掛けるサービスです。
セキュリティの強度はもちろん、コンプライアンスもしっかりしていることでしょう。
宅ふぁいる便の事象は企業としての失態。
決して機能レベルが低いというわけではなく、提供サービス外の運用面で起きた事象だと思っています。
やはり外部サービスは信用できない!社内のセキュリティポリシーに合わない!という方はオンプレミス型がおすすめです。
ただ、正しく運用するにはそれなりの知識と経験が必要なので、導入に当たってはベンダーさんと相談されると良いでしょう。
コメント