第四回：『クラウド』って、本当に安全なの？— 社長が知るべき『クラウド活用の落とし穴』

Google Drive や OneDrive を使い始めた工場の社長さんへ。

「クラウドに置いておけば安心だろう」と、どこかで思っていないでしょうか。
便利であることは間違いありません。でも、その便利さの裏側には、「どこまでがクラウド企業の責任で、どこからが自分たちの責任なのか」という、見えにくい線があります。

どこまでがシステム側の責任で、どこからが自社の責任なのか。現場でよくある『落とし穴』をふまえて、少し整理してみましょう。

「クラウド＝安全」は、半分だけ正しい

クラウドを提供しているのは、Google や Microsoft のような大きな会社です。
その名前を聞くだけで、「なんとなく安全そうだ」と感じるのは自然なことです。

たしかに、クラウド企業は次のようなことを引き受けています。

ここまでは、クラウド企業の責任です。
システムレベルの安全性については、彼らが守ってくれます。

一方で、「あなたの会社の責任」は、別のところにあります。

つまり、「ウチのデータを、誰がどう使える状態にしているか」は、自社の責任なのです。
ここを勘違いすると、「クラウドに預けているから大丈夫」という過信が生まれます。

よくあるパターンは、映画のような派手なハッキングではありません。
日常の「ちょっとした油断」が積み重なった結果です。

「123456」「password」——こんなパスワードを、どこかで使っていないでしょうか。

他のサービスと同じパスワードを使い回していると、どこか1か所が漏れただけで、クラウドにも簡単に入られてしまいます。
社員全員が「共通パスワード」を使っている会社も、狙われやすい状態です。

見積や図面を共有するとき、リンクを作ってそのままにしていませんか。

1年前に作ったリンクが、いまも生きている——そんなことは珍しくありません。
本来は見てはいけない人が、偶然そのリンクを知ってしまえば、中身はすべて見られます。

コストを浮かすために「社員個人の無料Googleアカウント等で、会社の図面を共有している」という企業は少なくありません。
実はこれが一番危険です。個人のアカウントは会社側で勝手に消すことができないため、退職後もデータにアクセスされ放題になってしまいます。

また、会社で管理しているアカウントであっても、「先月辞めたAさんのアカウントがまだ残っている」状態はよくあります。
Aさんに悪意がなくても、そのアカウントが乗っ取られれば、社外から社内のデータに簡単に入れてしまいます。

とはいえ、いきなり高額なセキュリティシステムを入れる必要はありません。
まずは、お金をかけずにできる以下の3つを徹底してください。

「覚えられない」という声が出たら、月1,000～2,000円程度のパスワード管理ツールを検討してください。
紙や頭の中だけに頼るより、ずっと安全です。

法人向けの Google Workspace や Microsoft 365 には、「リンクの有効期限」を決める機能があります。

「ずっと有効」のまま放置しない。
これをルールとして決めておくだけで、不要なリンクが外に残り続ける（＝玄関が開けっ放しになる）ことを防げます。

「後でやろう」と思ったことは、たいてい忘れられます。
退職の手続きの一部として、最初から組み込んでおくことが大切です。

毎日チェックする必要はありません。
月に1回、事務の責任者と一緒に、5分だけ時間を取ってください。

確認するのは、次の3つです。

これだけでも、「誰が、どこまで見られる状態なのか」を、社長自身が把握できるようになります。

最後に、「今月やること」を3つに絞ります。

クラウドは、きちんと使えば、とても頼もしい道具です。
大事なのは、「クラウド企業に任せる部分」と、「自分たちが握っておく部分」を、一度はっきり分けておくこと。

自社で守るべき『境界線』を正しく把握し、ルールを決める。それこそが、クラウドという便利な道具を、本当に安全な武器に変える唯一の方法です。

クラウドは安全に管理し始めた。でも、見積はメールで送ってませんか？

次回は「メール盗聴」「誤送信」「フィッシング詐欺」の3つの危険と、その対策を解説します。