まだ、PPAP続けてますか。
PPAP、つまり、「文書データをメールに添付する際、zipファイルに加工して暗号化し、そのパスワードを別メールで同じ相手に送信すること」は、同じシステムを使ってパスワードを送信することで、セキュリティ対策として役にたたず、手間だけかかる無用の長物だ。と指摘され、社外関係者との情報共有には、クラウドストレージがよいのだと政府を始め多くの方が意見を述べておられます。
どうですか、あなたは、まだ、PPAPを続けていますか。
PPAPを止めてクラウドストレージに移行された方、
油断はないですか。
PPAPを止めてクラウドストレージに移行された方、油断はないですか。
クラウドストレージを使って、社外関係者をワークスペースに招待する方式にしました。
もう、安心などと思っていませんよね。
この方式は、この方式で、セキュリティの設定上特に気を付けなければいけないところがあります。それが、社外関係者をワークスペースに招待するところです。
特に、共有データが、まだ登録されていない初期設定の時ではなく、共有データもある程度登録されているメンバー追加の時に留意する必要があります。
つまり、メールでの情報共有でも宛て先の設定ミスは致命的ですが、ワークスペースへの招待の場合も多くメールは使用します。その際、メールの宛先の設定ミスも致命的になります。しかし、メールとワークスペースへの招待では、影響範囲が大きく異なります。
メールの場合は、送信した1件だけが、情報漏えいの対象になりますが、ワークスペースの場合は、ワークスペースに登録されているファイルの全てが情報漏えいの対象になります。
つまり、ワークスペースへの招待の方が影響が圧倒的に大きいのです。
ワークスペースへの招待は確実に慎重に
ワークスペースへの招待は、設定するだけで、通常は、有効になってしまいます。審査・承認というようなプロセスもなく、一発で設定です。ミスは許されません。
そこを設定する担当者が慎重に行います。だけではリスクが高すぎると思いませんか。
このようなことは、ファイルサーバーのアクセス権でもありましたが、ワークスペースを社外関係者と共有する場合は、情報漏えいのリスクが圧倒的に高まります。
では、どうするのか。
ではどこまでやっておくのか、この辺のノウハウ、経験については、国内各社でも積み重ねをしているところではないでしょうか。
一番危ないのが、メールアドレスの手打ちによる転記です。
同性同名、ドメイン名も1字違いということもあります。このような場合は、手打ちだと思い込みで違う方のメールアドレスを打ち込んでしまうこともあります。
いろいろ方法はあるのでしょうが、招待する相手に事前にメールを出し、本人の確認が得られたら、そのアドレスをコピペするといいうようなことも考えられます。
また、共有するワークスペースやその階層を間違えないためにも、ワークスペースへの招待については、別途、ワークフローで承認を得るということも有効な手段ではないでしょうか。
最後のワークスペースへの設定は、頭で覚えている内容で設定するのではなく、
ワークフローで承認されたデータ等に基づき、設定するとミスが減りますし、
設定作業は二人一組で、最終的な実行を指示する前に、もう一人に確認してもらうのもよい方法でしょう。
クラウドストレージの機能改善にも期待
クラウドストレージを使った社外関係者との情報共有がやっと本格的になってきました。
Box Shield では、ワークスペースに招待されただけでは、ファイルの内容を読み取れないようなコンテンツそのものへの権限設定ができるようになったとのこと。
クラウドストレージも、慌て者が使っても安心して使える仕組みに進化して行って欲しいですね。
いかがでしょうか。
文書戦士
ブログランキングに参加しています!! ポッチと押して応援お願いします。
