【Box】ファイル要求リンクを社外へ送る時の安全確認

Boxのファイル要求機能は、社外の相手からファイルを安全に受け取るための便利な仕組みです。しかし、リンクを送信する際の設定を誤ると、意図しない第三者によるアクセスや情報漏洩のリスクが生じます。特に、取引先や顧客にファイルを提出してもらう場合、セキュリティを確保しつつスムーズにやり取りするためには、いくつかの確認事項があります。本記事では、Boxでファイル要求リンクを社外へ送る際に必要となる安全確認のポイントを、具体的な手順や失敗事例とともに解説します。管理者が自社の設定を確認する際にも役立つ内容ですので、ぜひご一読ください。

1. Boxファイル要求リンクの基本的な仕組みとセキュリティリスク

Boxのファイル要求機能は、リンクを知っている人だけがファイルをアップロードできる専用フォルダーです。このリンクをメールやチャットで社外に送信することで、相手はアカウントを持っていなくてもファイルを提出できます。しかし、リンクが公開されている状態では、悪意のある第三者に知られた場合、不正なファイルのアップロードや既存ファイルへのアクセス(※ファイル要求フォルダー内のファイルをダウンロードできる設定の場合)などのリスクがあります。そのため、リンク発行時には以下のセキュリティ設定を適切に行うことが重要です。

1-1. ファイル要求リンクの種類とデフォルト設定

Boxでは、リンクの共有範囲を「社内のみ」「社外含むすべてのユーザー」「特定のユーザーのみ」などから選択できます。デフォルトでは、多くの組織で「リンクを知っている人」が許可されていますが、パスワードや有効期限は自動では設定されません。

1-2. 知っておくべき脆弱性と対策

主なリスクとして、リンクの転送による意図しない拡散、ブルートフォース攻撃(パスワードが脆弱な場合)、アップロードされたファイルの内容確認不足などが挙げられます。これらを防ぐには、パスワード強制、有効期限の設定、ダウンロード権限の制限が必要です。

2. 社外送信時に確認すべき安全設定項目

ファイル要求リンクを作成する際、以下の設定項目を必ず確認してください。各項目の意味と推奨設定を理解することで、セキュリティレベルを高められます。

2-1. パスワード保護

リンクにパスワードを設定すると、そのパスワードを知っている人のみがファイルをアップロードできます。社外に送る場合は必ず有効にし、相手に安全な方法(電話や別のメールなど)でパスワードを伝えることを推奨します。パスワードは8文字以上で、英数字混在が望ましいです。

2-2. 有効期限の設定

ファイル提出期限を過ぎた後もリンクが有効だと、不要なアクセスを許すことになります。有効期限は提出期限の1週間後程度に設定し、自動で無効になるようにしましょう。期限切れ後に延長が必要な場合は、個別に対応します。

2-3. ダウンロード権限の制限

ファイル要求リンクでは、相手がアップロードしたファイルをダウンロードできるかどうかを制御できます。通常は「ダウンロードを許可しない」設定(相手はアップロードのみ可能)にするのが安全です。もし相手に既存ファイルのダウンロードを許可する必要がある場合は、別途共有リンクを使用することを検討してください。

2-4. アクセスログの確認

Boxの管理者は、誰がいつリンクにアクセスしたかをログで確認できます。不審なアクセスがないか定期的に確認しましょう。一般ユーザーはリンクの所有者であればアクセス履歴を確認できる場合があります(組織の設定によります)。

設定項目	安全な設定例	リスクが高い設定例
パスワード	必須、8文字以上英数字	なし
有効期限	提出期限+1週間	無期限
ダウンロード権限	アップロードのみ許可	ダウンロードも許可
リンク共有範囲	リンクを知っている人のみ	組織全体

3. 安全にファイル要求リンクを送信するための具体的な手順

以下の手順に沿ってファイル要求リンクを作成し、社外に送信することで、安全性を確保できます。各操作はBoxのWebブラウザ版で行うことを前提としています。モバイルアプリでも同様の設定が可能ですが、画面が異なる場合があります。

1. Boxにログインし、ファイル要求を作成したいフォルダーに移動します。
2. フォルダー名の右側にある「…」メニューをクリックし、「ファイル要求」を選択します。
3. 「ファイル要求を作成」画面で、リンクの説明(例:「〇〇プロジェクト提出用」)を入力します。
4. 「リンク設定」セクションで「パスワードを要求」を有効にし、強力なパスワードを設定します。パスワードは別途安全な方法で相手に伝えます。
5. 「有効期限」を設定します。カレンダーアイコンをクリックして日付を選び、時刻も指定できます。提出期限の1週間後を目安にしましょう。
6. 「ダウンロードを許可」のチェックを外します(デフォルトでは外れている場合もあります)。これで相手はファイルのアップロードのみ可能になります。
7. 「保存」をクリックし、生成されたリンクをコピーします。リンクはメール本文に貼り付けるか、安全なメッセージアプリで送信します。パスワードは同じメールに書かず、電話や別のチャネルで伝えてください。

4. 失敗事例とその原因・対策

実際に起こりがちな失敗パターンを紹介します。同様の状況に陥らないよう、事前に確認しましょう。

4-1. パスワードをリンクと同じメールに記載してしまった

パスワードとリンクを同じメールで送ると、メールが第三者に漏洩した場合、簡単にアクセスされてしまいます。必ず別の連絡手段(電話、SMS、別のメールアドレスなど)でパスワードを伝えるようにしましょう。

4-2. 有効期限を設定し忘れたため、リンクが無期限で有効に

プロジェクト終了後もリンクが生きていると、元の関係者が後日アクセスしたり、リンクがインデックスされて検索エンジンにヒットするリスクがあります。有効期限は必ず設定し、定期的に古いリンクを削除もしくは無効化しましょう。

4-3. ダウンロードを許可したままにしたため、既存ファイルが流出

ファイル要求フォルダーに他のファイルが保存されている場合、相手がそれらをダウンロードできてしまいます。ファイル要求専用の空フォルダーを作成し、ダウンロード権限をオフにすることで防げます。

4-4. リンクを間違った相手に送ってしまった

送信先のメールアドレスを間違えると、意図しない相手がリンクにアクセスできます。送信前には必ずアドレスを確認し、可能であればパスワードをかけることで被害を最小限に抑えられます。

5. 管理者に確認すべきポイント

社内のBox設定によっては、ユーザーが自由にファイル要求リンクのセキュリティ設定を変更できない場合があります。以下の点を管理者に確認することで、事故を未然に防げます。

• 外部共有ポリシー: 社外へのリンク共有が許可されているか。特定のドメインのみ許可などの制限がある場合があります。
• パスワードポリシー: パスワードの強度要件(文字数、記号の必須など)が設定されているか。自動生成されるパスワードの利用も検討してください。
• 有効期限のデフォルト: 組織として推奨する有効期限(例:30日)が強制されていないか。
• 監査ログの確認方法: 不審なアクセスがあった場合の通知設定や、ログの参照権限が自分にあるか。
• ファイル要求専用のフォルダー作成ルール: フォルダー内に他のファイルを混在させないよう、運用ルールが定められているか。

6. よくある質問とその回答

Q1. ファイル要求リンクのパスワードを相手にどう伝えれば安全ですか?

リンクを送信するメールとは別の経路(電話、別のメールアドレス、ビジネスチャットの個別メッセージなど)で伝えてください。特に機密性の高いファイルの場合は、パスワード管理ツールやワンタイムパスワードの利用も検討しましょう。

Q2. 有効期限はどのくらいに設定するのが適切ですか?

提出期限の1週間後を推奨します。もし延長が必要になった場合は、新しいリンクを発行するか、既存のリンクの有効期限を再設定してください。無期限は避けてください。

Q3. アップロードされたファイルを確認するにはどうすればいいですか?

ファイル要求フォルダーに移動すると、相手がアップロードしたファイルが表示されます。フォルダーを開き、ファイル名や日付を確認してダウンロードしてください。必要に応じて、アップロード通知メールが届くように設定することも可能です。

Q4. リンクを無効にする方法は?

ファイル要求リンクを削除するには、該当フォルダーの「ファイル要求」設定を開き、「ファイル要求を削除」をクリックします。または、フォルダー自体を削除してもリンクは無効になります。

Q5. 社外の相手がBoxアカウントを持っていなくても使えますか?

はい、ファイル要求リンクはBoxアカウントがなくてもアクセス可能です。ただし、アップロード時にファイルサイズ制限(通常2GBまで)があります。大きなファイルを送る場合は、管理者に制限の緩和を依頼してください。

7. まとめ

Boxのファイル要求リンクを社外へ安全に送信するためには、パスワード保護、有効期限の設定、ダウンロード権限の制限が基本です。リンクとパスワードは別経路で伝え、定期的にアクセスログを確認することも重要です。管理者と連携して組織のポリシーを遵守し、必要に応じて設定を見直してください。安全なファイルの受け渡しを実現し、情報漏洩のリスクを低減しましょう。