パスワード付きZIPファイルの送付を廃止する「脱PPAP対策」が完了しても、情報漏洩リスクがなくならないケースがあることをご存じでしょうか？

脱PPAPしても情報漏洩リスクが残る原因は、共有リンクの有効期限や権限管理が見直せていないことにあります。
この記事では、脱PPAP後の企業が見落としやすい共有リンクのリスクと、運用ルールとして整えておきたいポイントをご紹介します。

この記事を読むとわかること

• 脱PPAP後の共有リンクで起きやすいリスク
• 有効期限・権限設定の見落としが招く具体的なトラブル
• 今すぐ見直せる設定と運用ルールのポイント

脱PPAPを終えた企業が陥りやすい「次の落とし穴」

脱PPAPとは、パスワード付きZIPファイルでの添付ファイル送付をやめ、より安全なファイル共有方法に切り替えることです。多くの企業がクラウドストレージ（※1）の共有リンクをその代替手段として採用しています。

しかし、共有リンクはパスワード付きZIPと異なり、「送った後も管理が必要」という点が落とし穴になります。

リンクさえ知っていれば誰でもアクセスできる設定になっていたり、有効期限が設定されておらず、半永久的にファイルにアクセスできる状態になっていたりするケースがあります。

ツールを導入しただけで運用ルールが整っていないと、脱PPAPの目的であった「添付ファイルによる情報漏洩リスクの低減」が、共有リンク経由の情報漏洩というリスクに変わっただけになってしまいます。

※1 クラウドストレージ：インターネット上にファイルを保存・共有できるサービスのこと。OneDrive・Google Drive・Dropboxなどが代表例。

共有リンクの主なリスク3つ

共有リンクスタイルの「ファイル共有」のリスクは、「初期設定のまま使っている」ことで生まれるケースが大半です。
代表的な3つのリスクを確認しておきましょう。

1.有効期限なしのリンクが永続的にアクセス可能な状態になる

多くのクラウドストレージは、初期設定では共有リンクに有効期限が設定されていません。一度送ったリンクがメールの転送やコピーを通じて意図しない相手に渡っても、期限がなければいつまでもアクセスできる状態が続きます。

「取引が終了した相手」や「退職した社員」にリンクが残り続けるリスクがあるため、共有リンクを送る際は、用途に応じた有効期限をあらかじめ設定することが重要です。

※共有期限の設定ができないツールもあります。

2.権限設定の誤りで閲覧以外の操作を許可してしまう

「リンクを知っていれば誰でも編集可能」という設定になっていると、外部の相手がファイルを書き換えたり削除したりできてしまいます。
共有リンクの権限は「閲覧のみ」を基本とし、編集が必要な場合は相手を個別指定する運用が望ましいです。

3.誰が何のリンクを共有したか把握できていない

社員がそれぞれの判断でリンクを発行していると、管理者がどのファイルを誰と共有しているかを把握できなくなります。情報漏洩が起きた際の原因調査が困難になるほか、不要になったリンクを削除するタイミングも分からなくなります。

リンクの発行ルールを決め、管理者が一元的に把握できる体制を整えておきましょう。

今すぐ見直したい共有リンクの設定と運用ポイント

脱PPAP後の情報漏洩リスクを減らすために、リンク共有スタイルの脱PPAP対策を行っている場合、設定と運用の両面から見直しを進めましょう。

設定面で確認すること

• 共有リンクの有効期限をデフォルトで設定する（例：7日・30日など用途に応じて）
• リンクの権限を「閲覧のみ」を基本とする
• 「リンクを知っている全員がアクセス可能」という設定を制限し、相手を個別指定する運用にする
• 管理コンソールからリンクの発行状況・アクセスログを確認できる体制を作る

共有リンクの期限を設定できないツールを使用している場合は、共有したURLを一覧表で管理し、期限が来たら共有を手動で停止するなどの対応がおすすめです。

運用ルールとして決めること

• リンク共有は申請・承認ベースにするか、ガイドラインで用途を明確化する
• 取引終了・退職のタイミングでリンクを失効させる手順を決める
• 定期的にリンクの棚卸しを行い、不要なリンクを削除する担当者を固定する

ツールの設定と運用ルールをセットで整えることで、脱PPAPの効果が初めて本来の形で機能します。設定だけ変えてルールが曖昧なまま、またはルールだけ決めて設定が追いついていない、という状態は避けましょう。

共有リンクの管理まで含めた脱PPAP対策、できていますか？

脱PPAPへの移行後も、共有リンクの権限や有効期限が管理できていないと、情報漏洩リスクは残ります。時代の流れに沿って「とりあえず対策を行った」という方は、自社の脱PPAP対策の効果や効率について、この機会に見直されることをおすすめします。

株式会社サイバーウェイブジャパンの「Mail File Link（メールファイルリンク）」は、添付ファイルをリンク化してセキュアに管理できるゲートウェイ型サービスです。送信後のファイル削除にも対応しているため、脱PPAP対策としてご好評をいただいています。

脱PPAP対策の運用にお悩みの方は、株式会社サイバーウェイブジャパンのコンサルタントまでお気軽にご相談ください。無料のワークショップでは、貴社の問題解決に向けてお悩みに沿った対策をご提案しています。

この記事のポイント

• 1.脱PPAPが完了しても情報漏洩リスクが残るのはなぜ？

  脱PPAPで共有リンクに切り替えた後も、有効期限や権限設定が初期状態のまま放置されているケースがあります。「送れるようになった」で止まらず、リンクの管理まで含めた運用設計が必要です。

  詳しくは「脱PPAPを終えた企業が陥りやすい『次の落とし穴』」をご覧ください。

• 2.添付ファイルのリンク共有にはどんなリスクがある？

  共有リンクスタイルの「ファイル共有」のリスクは以下の3つです。

  • 有効期限なしのリンクが永続的にアクセス可能な状態になる
  • 権限設定の誤りで閲覧以外の操作を許可してしまう
  • 誰が何のリンクを共有したか把握できていない

  詳しくは「共有リンクの主なリスク3つ」をご覧ください。

• 3.共有リンクの設定と運用、何から見直せばいい？

  有効期限の設定・権限の「閲覧のみ」基本化・アクセスログの確認体制など、設定面の見直しと合わせて、リンク棚卸しや失効手順などの運用ルールを決めることが重要です。

  詳しくは「今すぐ見直したい共有リンクの設定と運用ポイント」をご覧ください。