多くの企業はデータ保護を考えるとき、「機密ファイルをどう外に出させないか」に注目しがちです。しかし、同じくらい危険なのは、ファイルが正規に外部共有された後のリスクです。問題は、ファイルが一度社外へ出ると、元のネットワーク、端末、アカウント境界から離れ、取引先の PC、個人端末、プロジェクト共有環境、オフライン媒体へ広がっていくことにあります。そこから再転送、再閲覧、長期保管が可能であれば、最初は正当な共有でも、次の漏えい、その次の漏えいへと連鎖し得ます。
だからこそ、メール監査、外部送信承認、文書暗号化を導入していても、プロジェクト納品、取引先連携、顧客対応、サプライチェーン業務の中で「送った後にさらに広がる」問題は残り続けます。最初の共有に業務上の理由があっても、その後誰が見られるのか、どれだけの期間使えるのか、再配布できるのか、問題発覚時に即座に無効化できるのかまで設計されていなければ、安全な外部共有とは言えません。
二次漏えいの本質は、最初の送信行為そのものではなく、ファイルが元の管理環境から外れた後に拡散コストが急激に下がることです。受信側組織の内部で再転送されることもあれば、個人 PC、USB、クラウドストレージ、チャットに複製されることもあります。送信側は「必要な相手に送った」と考えていても、その後の利用形態は見えないままになりがちです。
企業にとって難しいのは、外部共有に強い業務合理性がある点です。契約書、図面、見積、設計資料、プロジェクト文書、一覧データは、そもそも組織境界の外へ流通する場面があります。問題は「送れるか」ではなく、「送った後も制御権を残せるか」です。外部共有された瞬間に普通のファイルになってしまうなら、その後に回収、制限、責任追跡を行う余地はほとんど残りません。
第一に、多くの企業は「外に出してよいか」は制御できても、「出した後にどう使われるか」は制御できていません。受信側で一回だけ見られるのか、長期間保管されるのか、何度も再配布されるのかに技術的な歯止めがないケースが多くあります。
第二に、実行可能な例外ルートが不足しています。業務上、外部共有は必要です。しかし、選択肢が全面禁止か、普通の添付送信かのどちらかしかないと、現場は最終的に最も手軽な方法へ流れます。
第三に、共有後の損切り手段が用意されていません。プロジェクト終了、協業停止、誤送信、内容の陳腐化、機密範囲超過などが判明しても、送った後のファイルを無効化できない企業は少なくありません。
第四に、承認があっても「送ってよいか」だけで終わっていることです。承認後どの期間内で生成できるのか、どの形式で外部共有するのか、後から回収可能かまで踏み込んでいないと、実効性のある制御にはなりません。
機密ファイル外部共有後の二次漏えいを防ぐには、単に送信を止めるのではなく、共有そのものを制御された形に変え、共有後も一定の統制力を残す必要があります。Ping32 の 文件外发包 は、そのための仕組みです。
考え方は、元ファイルをそのまま普通の添付として出すのではなく、まず管理者が外発モードを定義し、従業員は 外发文件 または 外发包 として制御付きの共有物を生成し、受信側は定められた条件の下で閲覧・利用します。高リスク案件では、承認付き外発、承認後の有効期間、さらに 外发包回收 によって、共有後も制御と損切りの余地を残せます。
1. まずコンソールで文件外发包ポリシーを有効化する
Ping32 コンソールで 文档加密 -> 策略 -> 高级设置 -> 文件外发 に進み、参数设置 から 支持文件外发 を選択します。マニュアルによれば、ここでは 禁止使用文件外发和审批外发、支持审批外发、支持文件外发 の三つのモードを定義できます。
重要なのは、単に機能を有効にすることではなく、どの職種が自由に外部共有できるのか、どの職種は承認必須か、どの種類の文書は原則として外部共有させないのかを先に決めることです。
2. 高リスク文書は自由外発ではなく承認外発を優先する
契約原稿、研究開発資料、顧客データ、価格体系、入札資料などの高機密ファイルについては、支持审批外发 を使う方が安全です。このモードでは管理者が承認テンプレートを設定し、従業員は外発包を生成する前に承認申請を通す必要があります。
さらにマニュアルでは、承認後の有効時間も設定できるとされています。つまり、承認済みだからといって無期限に外発包を生成・利用できるわけではなく、共有行為そのものを明確な時間窓に収められます。これは承認の長期使い回しを防ぐうえで非常に重要です。
3. 元の暗号化ファイルをそのまま送らず、制御付き外発物を生成する
文件外发包 は 加密文件 に対してのみ作成できます。従業員はローカルで暗号化ファイルを選択し、右クリックから 创建文档安全 -> 创建文件外发包 に進めます。承認外発を有効にしている場合は、右クリックの 申请文件外发包、またはトレイから 发起审批 -> 申请文件外发包 を使います。
生成形式は二つあります。ひとつは .nsp 外发文件 で、ファイルサイズは比較的小さい一方、外发包查看器 が必要です。もうひとつは .exe 外发包 で、受信側は直接実行できます。どちらの形式でも大事なのは、社外へ出るものが普通の元ファイルではなく、利用条件を伴う制御付きの共有物になることです。
4. パスワードと外発権限を設定し、最初の共有を「制御された共有」に変える
マニュアルによれば、外発包作成時には少なくとも 标题 と 密码 が必須で、さらに権限設定画面で外発権限を定義します。これは単にファイルを渡すのではなく、条件付きの利用権を渡すという発想です。
また、後から回収したい可能性がある場合は、作成段階で 联网校验 の前提を確保しておく必要があります。マニュアルでは、外発包回収の前提として、作成時に联网校验が有効であることが明記されています。つまり、後で危険が分かったときに止められるかどうかは、共有時点の設計で決まります。
5. 必要に応じて外发包查看器を生成し、閲覧方法まで管理する
企業が .nsp 外发文件 を使う場合は、コンソールで 文档加密 -> 加密工具 -> 外发包查看器 -> 生成 に進み、対応するビューアを生成し、それを外発ファイルとセットで相手方へ渡します。受信側は .nsp ファイルを取り込み、パスワード認証を通って初めて内容を確認できます。
この方式は普通のファイル添付より一手間増えますが、その分、企業は「ファイル内容」だけでなく「閲覧方法」も管理対象にできます。受信者が任意のツールで自由に開く状態と比べれば、統制上の意味は大きく異なります。
6. リスクが判明したら外発包を回収して損切りする
協業終了、担当者変更、誤送信、権限超過、内容差し替えが必要になった場合、管理者は 文档加密 -> 审批任务 -> 文件外发 に進み、全部 または 已处理 の一覧から対象タスクを右クリックし、回收 を実行できます。回収後、受信側が再度外発包を開こうとしても、回収済みである旨が表示され、通常利用できなくなります。
これは二次漏えい防止で特に重要です。多くの企業にとっての問題は、最初の外部共有そのものが必ずしも誤りではないことです。問題は、リスクが見えた後に止められないことです。外発包回収は、その欠けていた損切り手段を補います。
Ping32 の価値は、単に「どう送るか」を解決することではありません。企業の外部共有を、一回限りの送信行為から、承認できる、制限できる、検証できる、回収できる継続制御プロセスへ変えることにあります。データ保護の観点では、外に出した瞬間に制御権を失う状態から抜け出せることが大きな意味を持ちます。
業務部門にとっても、Ping32 は単純な禁止策ではありません。共有は可能ですが、制御付き外発包として行う。例外は承認と有効期間で扱う。問題が見えた後は回収と損切りを行う。成熟した外部共有統制とは、すべてを止めることではなく、共有のたびに二次漏えいへ発展しにくい構造を持つことです。
Q1: 承認済みの外部共有でも、なぜ二次漏えいは起こるのですか
承認が解決するのは「この共有を許可するか」であって、「共有後に誰がどれだけ使えるか」ではありません。送ったものが普通の添付ファイルになれば、企業は後続の利用や再配布を制御しにくくなります。問題は最初の共有だけではなく、その後の拡散です。
Q2: Ping32 の文件外发包 は通常の暗号化ファイル送信と何が違うのですか
違いは、外部利用を前提にした制御付きの共有物であることです。マニュアルでは、暗号化ファイルから .nsp 外发文件 または .exe 外发包 を生成し、パスワードや権限を設定できるとされています。通常の添付送信では、ファイルが企業境界を離れた後の利用形態を制御しにくくなります。
Q3: なぜ作成時の联网校验 が重要なのですか
マニュアルが明示している通り、外发包回收の前提は、作成時に联网校验 が有効であることだからです。この前提がなければ、後から危険が見つかっても外発包を回収できません。企業にとっては小さな設定ではなく、事後に止められるかどうかを左右する要件です。
聯絡我們
39 min