Dropbox(ドロップボックス)など、オンラインストレージの不適切なアクセス権限の設定による、個人情報などの情報漏洩事故が後を絶ちません。しかし、会社のような組織で Dropbox を導入する時に、たった1つの設定をしておけば、不適切なアクセス権限の設定による情報漏洩を未然に防ぐことができます。そこで今回は、Dropbox の不適切なアクセス権限の設定を防止するための設定方法をまとめてみました。
不適切なアクセス権限とは?
不適切なアクセス権限とは、Dropbox でファイルやフォルダを共有するときに、共有する相手(下のスクショで言うところの「アクセスできるユーザー」のことです)を「リンクを知る全ユーザー」に設定することを言います。
Dropbox で共有する相手を「リンクを知る全ユーザー」に設定すると、表示されている説明の通り、リンク(URL)を知っていれば誰でもファイルやフォルダを閲覧することができてしまいます。
非公開URL
このように作成したリンクすなわち URL には誰でもアクセスできますが、これを共有元の人とその相手の人が秘密にすると、この URL は「非公開URL」と呼ばれます。しかし「非公開URL」に情報を守る機能はありません。しかも、共有する相手ではない第三者が非公開URLにアクセスしたとしても、不正アクセス行為には該当しないという法律の専門家の方の見解も示されています。
関連記事:非公開URLで情報を守ることは出来ない話
不適切なアクセス権限を防止するための設定
以下の設定を行うことで、Dropbox の不適切なアクセスの設定を防止することができます。
Dropbox にログインします。(Dropbox の管理者でログインしてください)
左メニューの下の方にある「管理コンソール」をクリックします。
管理コンソールの左メニューの下の方にある「設定」をクリックします。
下の方にスクロールして「共有」をクリックします。
2022年5月4日現在、Dropbox の初期設定では、共有リンクのデフォルトアクセスが「リンクを知る全ユーザー」に設定されています。(これによりファイルのアクセスできるユーザーに「リンクを知る全ユーザー」が設定できるようになっています)
チーム外でリンクを共有するを「オフ」に変更して「保存」をクリックすれば設定完了です。
設定の確認
最後に、Dropbox で「リンクを知る全ユーザー」の共有リンクを作成できないことを確認しておきましょう。
Dropbox に適当なファイルをアップロードして「リンクをコピー」をクリックします。(表示されるリンクをコピーする必要はありません。右上の「×」をクリックして閉じてください)
同じファイルの「↑(共有)」をクリックします。
「設定」をクリックします。
アクセスできるユーザーのプルダウンメニューに「リンクを知る全ユーザー」が表示されていなければOKです。
以上で、不適切なアクセス権限を防止するための設定の完了です。
おわりに
Dropbox などのクラウドサービスには「責任共有モデル」という考え方があり、クラウドサービスの提供者と、それを利用する利用者(会社や個人)の責任範囲を定義しています。
この責任共有モデルの定義では、オンラインストレージの不適切なアクセス権限の設定による、個人情報などの情報漏洩事故の責任は、利用者側にあり、クラウドサービスの提供者は一切責任を負いません。
しかし、今回ご紹介したような設定をしなくても、初期状態でクラウドサービスを安全に使えるようにしておくことは、クラウドサービスの提供者の責任ではないでしょうか?
子どもからお年寄りまで誰もが、安心して安全にクラウドサービスを利用できる社会になることを心から祈ります。
コメント