無料クラウド共有サービスの安全性

無料のクラウド共有サービスは、無料という最大のメリットがあり、必ずしもそれほど悪いわけではありませんが、クラウド共有に最適なものかというと、いろいろ懸念があります。安全性を考慮すると、マネージド・ファイル・トランスファー (MFT) の方に軍配が上がります。

「Free」の意味するもの

英語の「Free」という言葉は、無料とも、自由とも訳されますが、「無料」の意味で使われるときもかなり自由な意味づけが可能なようです。

「Free」が含意するのが何なのか、少し考察してみます。

支払いは発生しないが、まともなサービスは期待できない

無料で入手できるものには自ずと限界があり、顧客サービス、データセキュリティ、その他様々な必要なものがすべて自己責任となり、がっかりするかもしれません。

無料だから当然だと言われてしまえば、返す言葉はないでしょう。

支払いは発生しないが、取り立てて素晴らしいわけではない

まともな無料のクラウド共有サービスもあります。DropBox、Google Drive、One Drive、iCloud などが挙げられると思います。

がっかりするようなことはないかもしれませんが、要件を満たす優れものかと言うと、満足できるレベルではありません。

ファイル共有エクスペリエンスにおける重要な機能、必要な利便性、最先端のカスタマイズ性、効率的なカスタマーサービス、自動化といったものは望めません。

後から支払いが発生する

多くの場合、無料のソリューションは、まず興味を持ってもらうために無料で提供されます。興味を持った人たちには、有料の、もっと良いサービスが紹介されます。

無料だからこそ気に入ったサービスを使い続けるのか、やはり有料のサービスに移行すべきなのか、葛藤が生じるでしょう。

他の方法で支払うことになる

一部の無料サービスは、「迷惑な広告」を通常よりも頻繁に送りつけてきます。これらの広告を見させられることは、他の方法による支払いに匹敵します。

または、支払いは、別の形で発生するかもしれません。もし顧客が優秀なものでないクラウド共有によるユーザーエクスペリエンスに満足しなかったら、カスタマーエクスペリエンス戦略のために費用がかかるかもしれません。あるいは、システムの修正に対するコストが、無料システム導入の節約を帳消しにするかもしれません。

良い点

無料のクラウドファイル共有サービスにも、良いところはあります。例えば以下のような点です。

学習はしやすい

無料のファイル共有サービスは万人向けに作成されていて、学習しやすくなっています。誰でも Google Drive、One Drive、DropBox などを使って簡単にファイルを共有できます。

技術者をトレーニングする必要はありません。ただ、もし何らかの問題が起こって Google Drive でファイル共有できなくなってしまうと、対処の仕方がわからないことになるかもしれません。

中小企業に利用可能

小規模な企業なら、無料のクラウドファイルサービスでニーズを満たせるかもしれません。従業員数が非常に少ないだけではなく、機密データを扱わず、大量のデータ送信を行う必要のない企業であれば、というかなり限定された場合です。

一応のセキュリティ

One Drive などのプラットフォームで共有された場合、クレジットカード情報などのデータはハッカーの攻撃対象になりますが、これらのサービスにセキュリティ機能が完全に欠けているわけではありません。

例えば、Google Drive は AES-2 を使用したエンドツーエンドの暗号化で、転送時および保存時にファイルを保護します。ただし、エンドツーエンド暗号化以上の保護は、望むべくもありません。

悪い点

以上のような「良い点」はあるものの、これらの無料のクラウドファイル共有サービスを使用していると、「悪い点」も次第に明らかになってくると思います。信頼性や効率性、サービスなどにおける懸念は払拭できません。以下のような欠点があります。

暗号化とデータ保護機能の不完全性

無料のクラウドベースの共有プラットフォームのデータセキュリティ機能は、存在しないか、あってもレベルが低いものが普通です。社員同士のあたりさわりのないファイルの転送には使えるとしても、クレジットカード情報、保護された医療情報 (PHI)、個人を特定できる情報 (PII) のファイル転送に使うには適していません。

以下のような、安全なファイル転送に必要な機能が得られません。

• きめ細かなコントロール
• 継続的な監視
• 厳格なアクセスコントロール
• ゼロトラスト・フレームワーク
• 最新の暗号化およびファイル転送機能

コンプライアンス違反の恐れ

無料のファイル共有サービスは、2020年代のファイル転送の規制コンプライアンス要件をカバーできる能力が備わっていません。現在の厳しい規制コンプライアンスを満たすには、ファイル転送アクティビティの追跡を自動化したり、GDPR、HIPAA、PCI DSS コンプライアンス証明のためのドキュメントを作成したりする必要がありますが、無料サービスにはそのような機能は期待できません。無料のファイル共有サービスで機密情報を処理することによって、コンプライアンス違反を犯す可能性が高まります。

拡張性・柔軟性に欠ける

無料のサービスに共通するのは、拡張性や柔軟性といった点への配慮がないということです。だからこそ無料なのだとも言えますが、あたかも、転送するファイルの量やエンドポイントの数、ファイル転送へのニーズが何年も変わらないままであり続けるとの思いこみの下に作成されたかのようです。

拡張性に欠ける無料サービスを使用していると、企業の成長に伴って次のような不都合が生じます。

• 脆弱なデータセキュリティ機能への不安感が増す
• 悪意あるハッカーからの攻撃を受ける可能性が増大する
• クラウドデータ共有インフラストラクチャに内在する問題が露呈する

シャドー IT 問題

個人所有デバイスの持ち込み (Bring Your Own Device、BYOD) と同様、無料のファイル共有クラウドサービスはシャドー IT 問題を引き起こします。

これらのサービスは、PDF、電子メール、Microsoft Word ファイルなどを介してデータセキュリティフレームワーク外でファイル転送が行われることを妨げず、データ侵害の発生の可能性を放置しているようなものです。

従業員は平均して約2000ファイルをクラウドに保存しており、その20%には何らかの規制対象データが含まれているという調査もあります。組織や顧客のデータを危険にさらし、その上規制当局からコンプライアンス違反の制裁金を課される恐れがあります。

カスタマイズ不能

無料のファイル共有サービスを検討するとき、そもそも誰のために作成されたものなのかを考えてみてください。一般的に誰でも使えるように、という発想を裏返せば、誰かのために特に適切なように、という考慮はあり得ないということです。つまり、個々のセキュリティニーズに合わせてカスタマイズすることはほぼ眼中にありません。

ファイル共有の要件は、業種や地域、企業によって異なります。その業種に適したカスタマイズされたソリューションが必要だとしても、無料のサービスにカスタマイズを期待することはできないでしょう。

自動化もできない

サイバー攻撃の 50% が、内部者の操作に起因するという調査結果があります。外部のハッカーだけではなく、内部の社員の操作にも目を光らせておく必要があります。ただし、社員の操作ミスによるリスクは、操作の自動化によって回避することが可能です。また、自動化で大きな効率化が図れます。

ところが、無料のクラウド共有サービスには、次のようなファイル共有操作を自動化する機能はありません。

• システム更新とパッチ管理
• コンプライアンス文書作成
• ファイル転送ワークフロー
• アプリケーションのデプロイメント

それどころか、ひょっとしたら無料システムをクリーンアップするために余分な人手を投入しなければならないことさえあり得ます。

醜悪な点：推奨できない理由

もし、無料のクラウド共有サービスを使っていて、上述のような「悪い点」を認識したら、MOVEit のような効果的なマネージド・ファイル・トランスファー・システムを導入すれば、これらの問題はすぐに解決できます。

ですが、そのような単純な問題では収まらない、「醜悪な点」があることもしっかり承知しておくべきです。そのような醜悪な問題は、いったん発生してしまったら、立ち直って挽回するまでに何年も要する場合があります。

不快な体験による顧客離れ

ファイル転送の効率が悪く、不便で不手際だったりすると、顧客は不快感を募らせてそのシステムを使うのをやめてしまいます。いったん離れてしまった顧客は簡単に戻ってくることはありません。例えば、以下のような不快な体験は顧客離れに結びつきます。

• ダウンタイムによる遅延
• ファイル転送の不具合によるサービスへの信頼性低下
• シングルサインオンなどの便利なツールの欠如

データセキュリティ対策への不信感

ユーザーは、PHI（保護された健康情報）や PII（個人を特定できる情報）を、家族の思い出写真を保存するのと同じシステム (Google Drive や One Drive) を使用して保存していることがわかったら、不愉快に感じます。

そのような会社は、データセキュリティを真剣に受け止めておらず、セキュリティ対策が十分でないと判断されます。そういった不信感は広がりやすく、いったん不信感を抱かれると、それまで長年にわたって培ってきた信頼関係はあっという間に失われます。

企業としての文化の問題

データセキュリティは、ハードウェア、ソフトウェア、システム、プロトコルがあればいいというものではなく、組織の中核にセキュリティを重視する企業理念があり、それを徹底していこうという文化が醸成されていることが重要なポイントになります。

そのためには、IT 部門が率先して模範を示す必要があります。セキュリティ面で不安のあるクラウド共有オプションを選択することは間違ったメッセージになり、セキュリティを真剣に受け止めない文化が作られてしまいます。そして、堅固なセキュリティ文化がなければ、データ保護への姿勢は緩み、脆弱なポイントが偏在するような事態にもなりかねません。

サイバー攻撃

サイバー攻撃を受けてしまうと、莫大なコストがかかります。

サイバー攻撃を受けて廃業に至る企業は60% にも上るという驚くべき数字さえ報告されています。廃業にまでは至らないとしても、サイバー攻撃後に顧客の信頼を取り戻すには、長く困難な険しい道をたどらなければなりません。

無料のクラウド共有サービスに、サイバー攻撃からの保護を委ねることはできません。

メリットに見合った対価

「信じられないほどお得なもの」は、たいてい信じない方がいいと相場が決まっています。データセキュリティや顧客への影響、会社の評判などについてよく熟考すれば、無料システムには頼らない方がいいとの結論に至るはずです。

無料という言葉に惑わされることなく、本当に価値のあるものにはきちんと支払いをして、その結果としてメリットを受け取るようにするのが堅実な常道です。

クラウド共有に関しては、次のようなメリットのために対価を支払う価値があるか、検討してください。

• 保存時および転送中のデータの暗号化
• システムアップデートとパッチ管理の自動化
• コンプライアンス証明のための文書の自動作成

もし、これらのメリットを利用したいと思うのであれば、MOVEit をチェックしてみてください。安全なファイル転送、統合、暗号化、自動化、コンプライアンスへの支援、などを一か所から管理できる、マネージド・ファイル・トランスファー (MFT) ソリューションです。ちなみに、MOVEit の「お試し」は無料 (!) です。