Dropboxは簡単にファイル/フォルダを共有できることが素晴らしいメリットの一つではありますが、裏を返せば、簡単に情報漏洩につながるという見方もできます。そこで、今回はDropboxに保存されているコンテンツのセキュリティ対策について紹介したいと思います。
Dropboxに保存されたファイルを共有する方法は主に次の2つになります。
- ファイル/フォルダ共有
- リンク共有
1つ目のファイル/フォルダ共有は、ファイルやフォルダ(以下、コンテンツ)へのアクセス権限をユーザに付与することで共有する方法です。アクセス権限を付与されたユーザは、直接コンテンツにアクセスできるようになります。Dropboxでは、アクセス権限の付与 は「コンテンツの共有メンバーにユーザを招待できるユーザはDropboxアカウントを有している必要があります。
2つ目のリンク共有は、Dropboxに保存されているファイル/フォルダにアクセスするための URL を生成し、URL を共有相手に送付することで共有する方法です。設定次第でDropboxを利用していない人とも共有することができます。
図1 Dropboxの共有の概念図
これらの共有機能を使って図1のように、チーム外Dropboxユーザ (個人版Dropboxユーザや他の会社が所有するDropboxチームに所属するユーザ) と安全に共有する、おすすめの設定をご紹介します。
安全なチーム外共有 – チームメンバー間でのみ共有する
この設定は、そもそもチーム外ユーザと共有しない運用パターンです。
Dropboxに保存されたコンテンツを、オンプレファイルサーバのように社員間(チーム内)での共有だけ許可する設定になります。
設定方法は下記のとおりです。
手順① Dropboxにチーム管理者権限を持っているアカウントでログインします
手順② メニューから「管理コンソール」をクリックします
手順③ 管理コンソールのメニューから設定ページへアクセスします。
③-1 管理コンソールのメニューから、「製品:Dropbox」を開きます。
③-2 次に製品メニューの「設定」をクリックします。
③-3 右ペインに設定画面が表示されるので、「外部との共有」タブをクリックします。
③-4 「チーム外でのファイルやフォルダの共有」部分に注目します
図2 設定ページを開く手順
④-1 まずは、ファイル/フォルダ共有を設定します (後述)
④-2 次に、リンク共有を設定します
以上です
ファイル/フォルダの共有設定
チームメンバー間でのみ共有する場合、「ファイルやフォルダに追加できるユーザ」の値を図3のように「メンバー限定」に設定します。
「メンバー限定」を選択することで、ファイルやフォルダの共有メンバーに追加できるユーザが、チームメンバーのみに制限されます。
図3 ファイル/フォルダ共有の制限
ファイルやフォルダへのリンク共有設定
チームメンバー間でのみ共有する場合、「ファイルやフォルダへのリンクを共有する」図4のように「オフ」に設定することを推奨します。
この設定を「オフ」にすることで、共有リンクからアクセスできるユーザをチームメンバーのみに制限します。例え、共有リンクURLが外部に漏れたとしても、チーム外のユーザがアクセスすることはできません。
また、「フォルダのユニーバーサルリンク制限」を「オフ」にします。
この設定は、チーム内のすべての共有リンクによるアクセスを「フォルダの共有メンバーの登録されているユーザ」だけに制限するというものです。この設定を「オフ」にすることで、各
この設定を「オン」にすると、各フォルダの共有リンク設定は無効になります。チーム内のユーザであってもフォルダの共有メンバーではないユーザは参照でき無くなります。
フォルダの共有メンバーに登録されていないチームメンバーにはリンク共有で参照してもらえるようにしたほうが利便性が高くなりますので、みなさんの会社の運用ポリシーに合わせて選択して頂ければと思います。
図4 共有リンク設定:チームメンバー間でのみリンク共有
安心なチーム外共有 – 制限付きで外部と共有する
協力会社など外部のパートナー企業とコンテンツを共有し、仕事を効率的に進めたい場合は、管理された状態でチーム外共有を許可することをお薦めします。制限を掛けずに、チーム外共有を許可すると簡単にデータの持ち出しが可能になってしまいますので、注意してくださいね
制限付きでチーム外共有を許可する場合は、下記のように設定します。
手順① Dropboxにチーム管理者権限を持っているアカウントでログインします
手順② メニューから「管理コンソール」をクリックします
手順③ 管理コンソールのメニューから設定ページへアクセスします。
ここまでは、「チームメンバー間でのみ共有する」と同じ手順です。
手順④ ④-1 まずは、ファイル/フォルダ共有を設定します
④-2 リンク共有を設定します。
以上です
ファイル/フォルダの共有設定
制限付きで外部と共有する場合、「ファイルやフォルダに追加できるユーザー」を「メンバーと承認済みユーザー」に設定します。
この場合、承認済みリストに登録されたメールアドレスまたはドメインのユーザのみ、ファイルまたはフォルダの共有メンバーに招待できるようになります。別途、Dropbox管理者によるの登録が必要です。
図5 制限付き外部共有
承認済みリストの管理
承認済みリストの追加/削除は、「ファイルやフォルダに追加できるユーザー」を「メンバーと承認済みユーザー」に設定すると、表示されます。
承認済みリストには、Dropboxアカウントとして登録されたメールアドレス単位やメールアドレスのドメイン部分の単位で登録することができます。
例えば、hogehoge@example.com に対して共有を許可する場合
メールアドレス単位では「hogehoge@example.com」を登録します。
ドメイン単位では、「example.com」を登録します。
ドメイン単位で登録した場合は、hogehoge@example.comユーザーだけではなく、@example.comドメインのメールアドレスなら誰でも、共有メンバーに招待することが可能になりますので、注意が必要です。
ファイルやフォルダへのリンク共有設定
リンク共有は、「チームメンバー間でのみ共有する」の場合と同じ設定内容を推奨致します。
- 「ファイルやフォルダへのリンクを共有する」:「オフ」
- 「フォルダのユニーバーサルリンク制限」:「オフ」
デフォルトの共有リンク設定ではアクセスしたコンテンツをダウンロードが許可されているためです。共有したいファイルの閲覧だけ許可するつもりでも、共有リンクの作成時にダウンロードを制限し忘れると、ファイルがダウンロードされてしまい、第三者に転送されてしまうかも知れません。ダウンロードされてしまったコンテンツはこちらでは制御できないので、共有リンクでの外部共有は推奨しません。
そもそもチーム外共有は協力会社などコンテンツをダウンロードさせても良い相手に対して行うことが多いと思いますので、その場合は「ファイル/フォルダ共有」で共有すれば良いと思います。リンク共有は社内に留めておくのが良いと思います。
推奨設定のサマリ
今回紹介したお薦め設定内容を表1にまとめておきます。
表1 お薦め設定のまとめ
おわりに
今回は、Dropboxで安心・安全な外部共有を実現するための、テナント全体に反映される外部共有設定について説明しました。この他に、チームフォルダ毎にも「共有範囲」や「外部リンク共有の制限」に関する設定項目や共有リンク毎の設定などがあります。これらについては、また別の機会にご紹介したいと思います。
SCSKでは、お客様のDropbox導入のご支援を行っております。また、Dropbox APIツールの開発も行っておりますので、なにか手伝ってほしい!といったことがありましたら、是非 SCSKまでご遠絡頂けたらと思います
