「共有リンクを作成した操作ログの抽出」の依頼に対応してみた!

Dropboxの共有リンクは、ファイルやフォルダをすばやく共有できる便利な機能です。日常業務でも使いやすく、情報共有のスピードを高めやすい一方で、運用が進むほど「どのファイルやフォルダに対して共有リンクが作成されたのか」を後から把握しにくくなることがあります。特にチームフォルダでは、複数の共有メンバーが関わるため、自分自身の操作だけではなく、関係者全体の操作履歴を確認したいというご相談につながりやすい場面があります。

今回は、複数のチームフォルダに関して「共有リンクを作成した操作ログを抽出したい」というチームメンバーからの依頼に対応した事例をご紹介します。
依頼のきっかけは、監査目的で共有リンクの作成状況を確認したいというものでした。確認対象のチームフォルダは、チーム内で共有されており、「依頼者本人だけでなく、ほかのDropbox利用者による共有リンク作成も確認したい」という点が大きなポイントでした。そのため、管理コンソールでの設定確認、アクティビティログの抽出、そして今後の運用をより安定させるための共有ルールの見直しまでを一連の流れとして対応しました。
今回の対応は、次の3つのステップで進めました。 
  1. 管理コンソールでチームフォルダの共有設定を確認する。 
  2. アクティビティログで「共有リンクを作成しました」を条件にフィルタリングし、「レポートを作成」する。 
  3. 共有リンクでアクセス可能なユーザーが、チームフォルダの共有メンバーのみに限定された新規チームフォルダを作成し、対象ファイルを移行する。
この対応のポイントは、共有リンク作成履歴の確認だけで終わらせず、確認結果を踏まえて管理コンソール設定を見直していることです。監査対応と運用改善を切り離さずに進めることで、単発の確認作業にとどまらず、今後の運用をより安定させることにつなげています。

1. まずは管理コンソールで設定を確認

最初に行ったのは、対象となるチームフォルダの共有設定の確認です。まず現在どのような共有が許容される設定になっているかを把握しておくことで、共有リンクの有無だけでなく、どのような公開範囲に該当するのかも含めて確認します。この確認により、ログ確認結果の共有リンク整理をより適切に進めることができます。
共有リンクは管理コンソールの「設定」、「ファイルやフォルダへのリンクを共有する」設定で、チームメンバー以外のユーザーとリンクを共有できないように設定する、またはチーム外で共有されるリンクの有効期限を設定できます。ただし、この制御はチーム単位であり、フォルダ単位の細かな制御はできない点に注意が必要です。
弊社SCSKのDropboxでは、チームメンバー以外のユーザーとリンクを共有できないように設定しています。まずはこの設定により、チームメンバー以外のユーザーとリンクを共有できない状況を再確認しました。
           
チームメンバー以外のユーザーとリンクを共有できないように設定
           
チーム外で共有されるリンクの有効期限を設定
続いて確認したのがフォルダ単位の制御「閲覧できるユーザー」の設定です。共有リンクの公開範囲は、この設定によって大きく変わります。
「閲覧できるユーザー」の設定で「チームメンバー」に設定された共有リンクでは、このリンクを知っているチームメンバーがアクセス可能になり、フォルダのアクセス権に関係なく閲覧できてしまいます。つまり、フォルダのアクセス権限を丁寧に設定していても、共有リンクの設定によってその前提が崩れる可能性があります。
一方、「招待されたユーザーのみ」の設定では、共有リンクを使ってアクセスできるユーザーが、フォルダにアクセス可能なユーザーに限定されます。
           
「閲覧できるユーザー」>「チームメンバー」に設定
今回の確認対象のチームフォルダの「閲覧できるユーザー」の設定は、「チームメンバー」と「招待されたユーザーのみ」の其々に該当するフォルダを確認しました。

2. アクティビティログで作成された共有リンクを確認

次に行ったのが、アクティビティログの出力です。Dropboxでは、既存の共有リンクを把握する実務上の方法として、アクティビティログの活用が有効です。
今回の対応では、管理コンソールのアクティビティで「共有リンクを作成しました」を条件にフィルタリングし、レポートを作成しました。この方法により、共有リンクの作成履歴を一覧化し、実行日時、実行ユーザー、対象ファイルやフォルダ、リンク権限といった情報を取得しました。
           
アクティビティログで「共有リンクを作成しました」を選択
アクティビティログを活用することで、「誰が」「いつ」「どの対象に対して」「どの権限で」共有リンクを作成したのかを、確認でき、整理しやすくなります。監査で必要とされる確認事項を、可視化できる点は大きなメリットです。
一方で、アクティビティログ確認にあたっては留意点もあります。共有リンクの作成の履歴は追跡できますが、有効期限切れかどうかまでは判別できない場合があります。つまり、「共有リンクを作成」は確認できても、その共有リンクが現在も有効かどうかについては、別の観点での確認が必要になります。
また、フォルダに対する共有リンクは、直下だけでなくサブフォルダの中身も含めてアクセス可能になります。これにより、利用者が意図した以上の範囲が公開される、不要な情報が露出するといったリスクが発生します。
こうした特徴を踏まえ、ログを取得して終わりにするのではなく、依頼者へログを連携する際にも、「作成履歴の確認には有効だが、現在有効な共有リンクかどうかは別途確認が必要」「フォルダ直下だけでなくサブフォルダの中身も含めてアクセス可能」と伝えることで、共有リンクに関する認識の齟齬が生じないよう配慮しました。 

3. 今後の運用を見据えてフォルダを再設計

アクティビティログの確認結果を踏まえ、依頼者の要望により、今後の運用をより安全にするための対応もあわせて実施しました。具体的には、「閲覧できるユーザー」「招待されたユーザーのみ」の設定で利用するチームフォルダを新たに作成し、対象ファイルをコピーするという移行を行いました。

移行時に注意したい「移動」と「コピー」の違い

移行を行う際には、「移動」と「コピー」の違いにも注意が必要です。フォルダを移動した場合、共有リンクは引き継がれ、同じURLで共有が継続します。そのため、移行元の公開設定がそのまま残る可能性があり、公開範囲を見直したつもりでも、移動だけでは期待どおりにリセットされないことがあります。一方、コピーの場合は共有リンクが引き継がれないため、新しいフォルダ側ではリンクが存在しない状態から再構築できます。
以下の違いを理解して整理を進めると、意図しないセキュリティリスクの回避に繋がります。
操作
共有リンクの扱い
リスク・注意点
移動
引き継がれる(同じURLで継続)
warning 古い公開設定がそのまま残る。チーム外への公開設定を解除したつもりでも、移動では設定がリセットされない
コピー
引き継がれない(新規フォルダにはリンクなし)
check mark button 移行時に再作成が必要だが、新しい設計で範囲を見直せる。安全な移行に向く
warning移行後にコピー元を削除する。削除しないと、公開設定が残る

補足 共有リンク削除の方法

Dropbox標準機能では共有リンクの一括削除ができないため、以下の方法を検討しました。
方法
操作内容
前提・制約
①管理コンソールから個別削除
管理コンソール>セキュリティ>外部との共有>該当リンクを選択して削除
  • 管理者の操作に限定
  • チームメンバー以外のユーザーとの共有に限定
  • リンクごとに手動操作が必要
②Dropbox Protect活用
Protectの提供する一括削除機能を使用
別ライセンス(追加費用)が必要
③APIによる自動削除
共有リンク一覧取得APIで抽出し、削除APIで実行
APIの開発・実装が必要
Webブラウザ(dropbox.com)から個別削除
サイドメニュー「共有済み」「共有済み」タブを選択
[…](その他のオプション) をクリック、削除したいリンクの種類に応じて削除
  • 自分が作成したリンクであるか、またはそのファイル・フォルダに対して「編集権限」が必要
  • リンクごとに手動操作が必要
           
④Webブラウザから個別削除
今回は④の個別削除で対応しましたが、リンク数が多い場合は、②または③の検討が必要でした。

今回の対応から見えてくるポイント

今回の対応から見えてくるポイントは、大きく3つあります。1つ目は、共有リンクの監査対応では、設定確認とログ確認の両方が必要になることです。ログだけでは現在の設計方針は分からず、設定だけでは過去に作成された共有リンクは追えません。両方を組み合わせることで、現状把握の精度を高めやすくなります。2つ目は、既存共有リンクの一括管理が難しいため、後追いの整理だけでなく、新規リンクを増やしにくい設計もあわせて考えることが重要である点です。3つ目は、監査対応を単発の確認作業で終わらせず、今後の共有ルールの見直しにつなげることで、より実効性のあるセキュリティ強化を進める支援につなげられると考えています。
今回ご紹介した「共有リンク作成時の操作ログ抽出」の対応は、Dropboxでのセキュリティ監査・運用管理の強化に役立つ取り組みの一例です。SCSKでは、実際に社内でもDropboxの運用を行っており、ログ管理や外部共有の統制を含めた実績・ノウハウを蓄積しています。こうした知見をもとに、お客様の要件に応じた運用設計や対応方法の検討も可能です。
Dropboxに関するご相談がございましたら、ぜひSCSKまでお気軽にお問い合わせください。
本投稿に関するお問い合わせ先     : Dropbox-sales@scsk.jp
SCSKのDropbox取り組み紹介      :   https://www.scsk.jp/product/common/dropbox/index.html
×
タイトルとURLをコピーしました