ファイル共有サービスの落とし穴、テレワークに欠かせないVDRとは

　大手広告代理店の電通が本社ビル勤務の5000人に対してテレワークに切り替えることを宣言した。日本の働き方改革でも注目されているテレワークだが、その実施率は世界レベルから見るとまだまだ低い。政府の指針は2020年までに35％だが、実際は2017年で13.9％しか達成できていない。アメリカの達成率は約70％まで来ている。

　なぜ日本でテレワークが普及しないのか、理由は会社に行かなければアクセスできない情報があるからと考えられる。その情報が会社外でも安全にやりとり出来るテクノロジーがあればテレワークを促進できるに違いない。そう考えたのがリーガルテック代表取締役社長・佐々木隆仁さんである。

テレワークの経済効果は通勤の無駄だけで4300億円

　「みずほ総合研究所の試算ですが、テレワークを実施して満員電車での通勤の無駄を削減するだけでもGDPの押し上げ効果が4300億円になるそうです。今回の新型コロナウイルス感染症対策、そしてオリンピック期間の電車の混雑緩和を実施するためにテレワークに移行することが必要だと考えています」と佐々木さんは語る。

　政府はオリンピック開幕式の７月24日をテレワーク・デイに制定して、交通混乱を避けるために予行演習として企業の参加を呼びかけた。東京メトロ・都営地下鉄の現在の１日当たりの乗降者数は平均850万人だが、オリンピック開催中の1日当たりの会場来場者数は最大92万人と予測され、乗客数が10%以上増える可能性が示唆されている。

企業の情報は国家レベルのハッカーの標的になる

　テレワークで問題になるのが、情報漏洩の危険性である。しかし、日本企業の情報に対するセキュリティ意識はかなり低いと佐々木さんは指摘する。「例えば日本の企業で機密文章をメールで送る際にはzipなどの圧縮ファイルを作り、パスワードでロック。そして、別のメールでパスワードを送ります。これが金融機関を含めてデファクトスタンダードだと思います。この方法には問題があります。添付ファイルが暗号化されて送られても、パスワードが平文で送られているので、メールデータがハッキングされるとパスワードが知られてしまい暗号が解除されて情報漏洩がおこります」

　それでも問題が表面化しないのは企業がそれに気付いていないのと、国家的レベルでハッキングがおこなわれ、その成果が隠蔽されるからだと佐々木さんは指摘する。アメリカ司法省も中国人民解放軍第54研究所に所属する４人が米国人1億4000人以上の個人情報を盗み出したことに対して起訴したこを発表。また、日本でもNECと三菱電機がハッキング攻撃を受けていたことが判明している。これ以外にも防衛省や内閣府などの官公庁や民間企業のデータに不正アクセスされた可能性があるのだ。

　「国家機密レベルの情報なので取得されたことが、どこかに漏れることはありません。ですから、今まで大きな問題がなかったから、従来の方法でいいという理論は通用しません。三菱電機はセキュリティーのソリューションを提供している企業ですが、そこでさえもハッキングされたのですから、一般企業が安全とはとても言えません」

ファイル共有サービスのデータは事業者に閲覧される

　セキュリティに100点はない、しかし、機密データをメールで送るよりVDRを使った方が安全性は高まるとという。では、VDR（Virtual Data Room）とは何なのか。「それはインターネット上にある貸金庫のようなもので安全にデータを共有できます。メールで送るデータはバラバラになりますが、VDRはフォルダを階層化した状態でデータにアクセスできます。それから、ユーザー単位でのアクセス制限の設定、アクセスログが取れることも重要です。メールでは相手が読んだかどうか分かりませんし、標的型メール攻撃のターゲットになる恐れもあります」

　では既存のファイル共有サービスを利用してデータをやり取りする方法ではダメなのだろうか。「メジャーなファイル共有サービスの利用規約には、サービスプロバイダーや第三者がデータにアクセスすることに許諾を求める条文があり、それに同意しないとサービスを利用できません。こうした理由から、多くの大企業はファイル共有サービスの利用を禁止しています」

　佐々木さんの指摘通り、大手ファイル共有サービスの規約には「お客様のデータを閲覧することを許諾する」の一文がしっかり入っている。Googleドライブには、送信、出版、公演、（公開）表示、および配布、まで含まれていた。これはでは確かにビジネスでなくても使いたくないレベルの情報公開度合いである。普段、規約など読まずにさっさと確認ボタンを押してファイル共有サービスを利用していたが、セキュリティ面からみるとはなはだ心許ない一面があったのだ。

　Googleドライブ利用規約には「Google社のサーバーに保存されたお客様のデータにアクセスすることを許諾するという目的で、ユーザーがアップしたコンテンツに対して、使用、ホスト、保存、複製、変更、派生物の作成、送信、出版、公演、表示、および配布を行うための全世界的ライセンスを付与することになります」と書かれている。

　Microsoftサービス規約には「Microsoft社のサーバーに保存されたお客様のデータを閲覧することを許諾する。とある。さらに、お客様のコンテンツを使用するための世界全域における知的財産のライセンスを無償で許諾するものとします」と明記される。

　Dropbox Business契約書には「Dropboxおよびその下請け業者は、本サービスの提供及び本契約におけるDorpboxの義務履行のために、顧客セータにアクセスし、使用し、保存し、及び転送のみを行います」と書かれている。

　Boxの利用規約には「Boxに、弊社がお客様がによるサービス利用の一環として取得するコンテンツおよびその他の情報を送信、処理、利用及び開示する権利を提供することに同意するものとします」と書かれている。