世界中の何千万人ものユーザーがGoogleドライブを毎日使用している。どうやらそれらのユーザーの多くはセキュリティを考慮せずに利用しているようだ。

データセキュリティ会社であるMetomic（メトミック）社の新しいレポートによると、企業は機密データをGoogleドライブに保存することで危険にさらしているという。同社が発表した「2023 Google Scanner Report」によると、スキャンした650万件のGoogleドライブファイルの40%に、顧客情報、従業員情報、企業秘密などの機密情報が含まれていた。

このスキャンは、Metomicが独自に開発したデータセキュリティ技術を使ってGoogleドライブをスキャンし、保存されている機密データの量を知る機会を企業に提供するキャンペーンを通じて実施された。

[関連記事:What is multifactor authentication (MFA)? How it works, why adopt it and its challenges]

「ここ数年、企業はイノベーションと生産性を実現するためにますます多くの SaaS（サービスとしてのソフトウェア）ツールを活用してきました。それは良いことです。しかし、データセキュリティチームは、これらのプラットフォームに保存および共有されている機密データの量を認識していません」とMetomicのCEOであるRich Vibert氏は SDxCentralに語った。「GoogleドライブやSlackインスタンスのスキャンを実施するたびに、データセキュリティチームは自分たちの会社が潜在的なデータ侵害にどの程度さらされているかを知りショックを受けます」

広範な共有によりデータが暴露される

さらに、レポートでは、スキャンしたファイルの34.2%が社外のドメインで共有されていることが判明した。これは、権限のない不正な相手と共有された可能性のあるファイル220万件に相当する。

また、357,000個のファイルが一般公開で共有され、インターネット上で誰でもアクセスできる状態にあることも判明した。これにより、機密データ漏洩のリスクはさらに高まっている。

「文書を簡単に共有できるようにすることで、個人は自分の機密データに誰でも簡単にアクセスできることに気づいていないかもしれない」と報告書は警告している。

Metomic社は、スキャンした18,000個のファイルを「重大」リスクレベルにランク付けした。これらのファイルには、適切に制限されていない非常に機密性の高いデータまたはアクセス許可設定が含まれている。非常に多くの高リスクデータがアクセス可能な状態にあると、潜在的なサイバー攻撃による危険が増大する。

報告書では、データ侵害が企業にとって壊滅的な打撃を与える可能性があることが強調されている。2023年、データ侵害の平均被害額は445万ドルで、過去最高となった。Googleドライブのようなアプリに保存される機密データの量を最小限に抑えることは、侵害が発生した場合の潜在的な損害を軽減するのに役立つ。

リスクを軽減する方法

同レポートは、リスクを軽減しデータを保護するために組織ができる4つの重要なことを提案している。

1.アクセス制御の強化。機密ファイルへのアクセスを制限し、リスクの高いデータを保護する。
2.多要素認証を導入する。パスワードだけではハッカーを防ぐことはできない。セキュリティを強化するために多要素認証を有効にする。
3.「人間の」ファイアウォールを構築する。セキュリティに最大限の影響を与えるために、異常な動作を特定する方法を従業員にトレーニングする。
4.データ損失防止（DLP）ツールを使用する。DLPツール（Metomicはそのようなツールの1つを開発している）は、従業員を制限することなく、SaaSアプリの機密データを保護するのに役立つ。

なぜこれほど多くの組織が安全でない方法でGoogleドライブ経由でファイルを共有しているのかについて、氏は、一部の組織は単にそれがもたらすリスクについて考える機会がなかっただけだろうと述べている。とはいえ、自社でSaaSがどのように利用されているかを注意深く観察するデータセキュリティチームは増えていると同氏は指摘した。

「基本的には、トレンドを先取りし、効果的なデータセキュリティ戦略を優先できるセキュリティリーダーが、自社のシステムを保護するための最も優れた装備を備えた人材ということになるでしょう」と氏は述べている。「同時に、組織が業務を遂行するために使用する多数のクラウドベースのツール全体で生産性を最大化」しながらだ。

Your employees may be risking a data breach with Google Drive