クラウドの「設定ミス」が情報漏洩になる
——Google Workspace・Microsoft 365の落とし穴
クラウドの情報漏洩は、外部のハッカーが侵入してくるだけが原因ではありません。実は多くのケースで、原因は「設定したつもり」だった内側の穴です。GoogleドライブやMicrosoft 365の初期設定・共有設定のミスは、知らないうちに社外へのドアを開け放してしまっています。
「攻撃された」のではなく「開いていた」
セキュリティ事故というと、高度なハッカーが巧みな手口で侵入してくるイメージを持つ方が多いかもしれません。しかしクラウドサービスに関しては、最大のリスクは外部からの攻撃ではなく、設定の不備による「意図せぬ公開」であることが多いのです。
・Google ドライブのファイルを「リンクを知っている全員」で共有したまま社外へ送付 → ファイルがインターネット上に公開状態に
・Microsoft Teams の外部招待設定をオンにしたまま放置 → 退職した外部メンバーが引き続きチャンネルを閲覧できる状態
・Google Workspace の MFA(多要素認証)が未設定のアカウントに対し、リスト型攻撃でログイン成功
これらはすべて「高度な攻撃」ではありません。クラウドサービスのデフォルト設定や、使い方の慣習がそのままリスクになっているケースです。
たとえ話——引越し直後に窓のカギを確認しない
引越し直後のことを想像してください。新しい家具を搬入し、インターネットも開通させ、「よし、これで準備完了」と安心しました。しかし後日、裏口の窓が最初から鍵のかかっていない状態だったことに気づきます。
設置した業者も、あなた自身も、「初期状態でロックされている」と思っていた——でも実際は違った。
Google WorkspaceやMicrosoft 365の多くの設定は、「デフォルトのまま使うと外部と共有されやすい」状態になっています。意図的に変更しない限り、窓は開いたままなのです。
クラウドサービスを導入した際、「設定した」という事実と「正しく設定できた」という確認は別の話です。多くの中小企業では導入時に急いで使い始め、セキュリティ設定の見直しが後回しになっています。
Google Workspace でよくある設定ミス
① Googleドライブの共有範囲が「リンクを知っている全員」になっている
Google ドライブでファイルを共有する際、「リンクを知っている全員」を選ぶと、そのURLさえわかればインターネット上の誰でもファイルを閲覧できます。検索エンジンにインデックスされる可能性もあります。
「相手のGoogleアカウントを知らなくても共有できる」という手軽さから、社外への資料送付時に使われがちです。用が済んだ後に共有設定を戻すのを忘れ、機密情報が長期間公開されたままになるケースが後を絶ちません。
正しくは「特定のユーザーと共有」を使い、必要な相手だけにアクセス権を付与します。共有が終わったら設定を「制限付き」に戻す習慣が重要です。
② 組織全体への共有が意図せず有効になっている
Google Workspace の管理設定では、ドライブ内のファイルを「組織内全員が閲覧可能」にするオプションがあります。便利な反面、部署をまたいで閲覧してほしくない人事情報・財務データなども全社員から見える状態になるリスクがあります。
設定ミス・内部操作
(IPA 2024年調査より)
平均被害コスト
(中小企業規模)
アカウントの不正ログイン
成功率(業界調査)
Microsoft 365 でよくある設定ミス
① Teams の外部招待が全社で許可されている
Microsoft Teams では、組織外のゲストユーザーをチャンネルに招待できる機能があります。この設定が管理者レベルで「許可」になっていると、誰でも外部のゲストを社内 Teams に招待できてしまいます。
特に問題になるのが「退職した取引先担当者」や「プロジェクト終了後のフリーランス」がゲストとして残り続けているケースです。チャンネルの会話ログ・ファイルを引き続き閲覧できる状態が続くことになります。
・プロジェクト終了後も外部ゲストのアクセスが残ったまま
・ゲストが誰なのか管理者も把握していない
・チャンネルに共有されたファイルを外部から持ち出せる状態
② メールルールの改ざん
Microsoft 365 のメールアカウントに不正アクセスされた場合、攻撃者がよく使う手口のひとつが「自動転送ルールの設定」です。特定のキーワード(「振込」「契約書」「パスワード」など)を含むメールを外部アドレスに自動転送するルールを仕込むことで、被害者が気づかないうちに重要メールが流出し続けます。
これはパスワードを変更してアカウントを取り戻した後も、転送ルール自体を削除しなければ漏洩が続くという特徴があります。アカウントへの不正アクセスが疑われる場合は、メールルールの確認を必ず行ってください。
③ MFA(多要素認証)が未設定のアカウントがある
「パスワードが漏れてもMFAがあれば大丈夫」とよく言われますが、逆に言えばMFAがなければパスワード1つで全情報にアクセスできるということです。Microsoft 365 では既定でMFAが推奨されていますが、古くから使っているアカウントや管理者が個別に除外したアカウントにMFAが設定されていないケースがあります。
パスワードに加えて、スマートフォンへの通知・ワンタイムコード・指紋認証など「もうひとつの確認」を求める認証方式。仮にパスワードが流出しても、2つ目の認証がなければログインできません。Microsoft・Googleともに無料で設定できます。
導入時・今すぐ確認すべきセキュリティチェックリスト
クラウドサービスを導入済みの方も、これから導入する方も、以下の項目を今すぐ確認してください。「全部できている」と即答できれば、設定面のリスクは大きく低減できます。
Google Workspace チェック
- GoogleドライブのデフォルトリンクURLが「制限付き」になっているか
- 共有済みファイルの一覧を定期的に見直しているか
- 組織外への共有を管理コンソールで制限・ログ取得しているか
- 全アカウントに2段階認証(MFA)が設定されているか
- 退職者のアカウントが即日無効化される手順があるか
- 管理者アカウントと一般アカウントを分けて運用しているか
Microsoft 365 チェック
- Teams のゲストアクセス設定が適切に制限されているか
- 現在のゲストユーザー一覧を把握・定期レビューしているか
- 全アカウントにMFAが設定されているか(管理者アカウントは特に重要)
- メールの自動転送ルールを定期的に確認しているか
- SharePoint・OneDriveの外部共有ポリシーを管理者が設定しているか
- サインインログ・監査ログが有効になっているか
設定を見直す——4つのステップ
「何から手をつければいいかわからない」という方に向けて、優先順位の高い順に整理します。
-
1
MFA(多要素認証)を全アカウントに設定する
最初に取り組むべき最重要項目です。特に管理者アカウントのMFA未設定は致命的なリスクです。Google・Microsoft ともに追加費用なく設定できます。社内の全メンバーに設定が完了しているか、管理画面から一覧確認しましょう。
-
2
共有ファイルの棚卸しをする
「リンクを知っている全員」で共有中のGoogleドライブファイルや、外部共有されているSharePointファイルを一覧で確認します。管理コンソールの共有レポート機能を使えば一括確認が可能です。不要な共有はすぐに解除しましょう。
-
3
外部ゲストユーザーを棚卸しする
Teams・Google Workspace に登録されている外部ゲストの一覧を確認し、プロジェクト終了・退職・取引終了した関係者のアクセスを削除します。「まだ必要かも」という判断を先延ばしにしないことが重要です。
-
4
退職者アカウント無効化の手順を作る
人が退職した日に確実にアカウントを無効化する手順を運用フローに組み込みます。「IT担当者への連絡が翌日になった」だけで、退職者が一晩中データにアクセスできる状態が続きます。HR部門と連携した即日フローが理想です。
まとめ——「設定した」と「正しく設定できた」は違う
- クラウドの情報漏洩は「攻撃された」より「開いていた」ケースが多い
- Googleドライブの共有設定・Teamsのゲスト設定は初期値が「開きやすい」設計
- MFA未設定のアカウントは、パスワード1つで全データにアクセスされるリスクがある
- メール自動転送ルールの悪用は、パスワード変更後も気づかずに続くことがある
- 「設定の棚卸し」は定期的に行う習慣として業務フローに組み込むことが重要
クラウドセキュリティの最大のリスクは、技術的な脆弱性ではなく「設定のズレを誰も確認していないこと」です。引越し後に窓のカギを確認しなかった家と同じく、一度確認すれば防げるリスクが放置されています。まず現状を把握することが、すべての出発点です。
自社のクラウド設定、本当に大丈夫ですか?
Leapsecの無料診断では、外部から見た自社ドメインのリスクを5分・登録不要・無料で確認できます。
まず「今の状態」を知るところから始めましょう。
結果はメールで届きます。営業電話は一切ありません。
参考・出典
IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2024」/総務省「クラウドサービスの安全な利用に関する手引き」/Microsoft・Google 公式セキュリティドキュメント
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)