クラウド履歴・共有履歴・編集履歴のリスク
クラウド保存、共有リンク、編集履歴が文書の出所と結びつくリスクを学びます。
内部告発でクラウドを使うと、ファイルの中身以外にも多くの履歴が残ります。
誰が作成したか。誰が開いたか。誰に共有したか。誰がコメントしたか。いつ編集したか。どのアカウントでアクセスしたか。
Google Drive、Microsoft 365、Dropbox、社内クラウド、文書管理システムは便利ですが、内部告発では強い手がかりになります。
クラウド上の資料は、ファイルではなく履歴の集合として見る必要があります。
クラウドに残る履歴
クラウドサービスは、共同作業のために履歴を持ちます。
それは通常の業務では便利です。しかし、内部告発では、誰が資料に触れたかを示す記録になります。
| 履歴 | 分かること |
|---|---|
| 作成者 | 誰が最初にファイルを作ったか |
| 最終編集者 | 誰が最後に変更したか |
| 閲覧履歴 | 誰がファイルを開いたか |
| 共有履歴 | 誰にリンクや権限を渡したか |
| コメント履歴 | 誰がどの部分に反応したか |
ファイルをダウンロードして外部に送っても、クラウド側には「その前に誰が触れたか」が残ることがあります。
クラウドの履歴は、利用者から見える履歴だけではありません。 画面上に表示される編集履歴やコメントのほかに、管理者向けの監査ログ、アクセスログ、端末情報、、共有設定の変更履歴が残る場合があります。 組織のクラウドでは、通常の利用者が見えないログを管理者が確認できることがあります。
内部告発では、この点が重要です。 ファイルの本文から名前を消しても、クラウド側に「誰が開いたか」「誰がコピーしたか」「誰が外部共有したか」が残れば、候補者は絞られます。
共有リンクの危険
共有リンクは、簡単に資料を渡せます。
しかし、リンク共有には所有者、権限、閲覧者、通知、アクセス時刻が関係します。
| 共有の要素 | リスク |
|---|---|
| 所有者名 | 実名や組織アカウントが見える |
| リンク権限 | 誰がアクセスできる状態か分からなくなる |
| 閲覧通知 | 相手や所有者にアクセスが伝わる |
| 共有先一覧 | 誰に渡したか履歴が残る |
| ダウンロード履歴 | 資料を取得した時刻が残る |
内部告発で、普段の業務クラウドから外部にリンクを送るのは危険です。
組織側の監査ログに残る場合があります。
共有リンクは、見た目にはただのURLです。 しかし、裏側では所有者、権限、共有時刻、アクセスした相手、ダウンロード、通知が関係します。 リンクを外部に送ると、所有者や管理者に通知される設定になっていることもあります。
また、共有設定を変える操作自体が目立つ場合があります。 普段は内部だけで使われている資料を、突然「リンクを知っている全員」に変更すれば、監査対象になります。 内部告発でクラウド共有を使う場合は、ファイル本文より先に共有経路のリスクを考えます。
編集履歴は本文より危険なことがある
編集履歴には、本文から消した情報が残ることがあります。
コメント、提案、変更履歴、過去版、共同編集者、削除した文章。これらは、資料の作成過程や関係者を示します。
| 編集履歴 | リスク |
|---|---|
| 過去版 | 削除した名前や内部情報が残る |
| コメント | レビュー担当者や部署が分かる |
| 提案モード | 誰が修正したか分かる |
| 共同編集者 | 関係者の範囲が見える |
| 変更時刻 | 勤務記録や会議と照合される |
完成版だけを見ても、安全とは判断できません。
履歴が残るサービスでは、現在の表示と過去の記録を分けて考えます。
共同編集文書では、削除した文章が過去版に残ることがあります。 コメントには、担当者名、部署名、レビューの経緯、内部の判断が残ります。 提案モードでは、誰がどの表現を直したかが見えます。
告発用に文書を整える場合、現在表示されている完成版だけを見て安心しないことが重要です。 過去版、コメント、提案、共同編集者、変更日時、ファイルの所有者を確認します。 必要なら、履歴を含まない形で安全な写しを作ることを検討します。
内部告発で特に注意する場面
内部告発では、クラウド履歴が告発者の行動を示すことがあります。
資料を開いた、コピーした、共有設定を変えた、ダウンロードした、別アカウントに転送した。このような操作は、組織側の監査対象になります。
| 操作 | 残る手がかり |
|---|---|
| 資料を開く | 閲覧時刻とアカウント |
| コピーを作る | コピー作成者と作成時刻 |
| 共有設定を変える | 操作したアカウント |
| ダウンロードする | 取得時刻と端末情報 |
| コメントを削除する | 変更履歴や監査ログ |
「ファイルを外に出す瞬間」だけではなく、資料に触れる前後の行動も見られます。
組織内のクラウドでは、アクセス権限も手がかりです。 そもそもその資料を見られる人が少なければ、閲覧しただけで候補が絞られます。 ダウンロード、印刷、コピー、共有設定変更は、通常の閲覧より目立つ操作です。 内部資料を扱うときは、何をしたかだけでなく、その操作が普段の業務行動として自然かどうかも考えます。
クラウドを使わない判断
高リスクな内部告発では、クラウド共有を使わない判断が必要になることがあります。 普段の業務クラウドは、便利であるほど履歴が残ります。 共同編集、閲覧履歴、通知、管理ログ、端末ログがあるからです。
ただし、クラウドを使わなければ安全という意味でもありません。 USB、印刷、写真、メール、メッセージアプリにも別の履歴があります。 重要なのは、どの経路にどのログが残るかを比較することです。
| 方法 | 残る可能性がある手がかり |
|---|---|
| クラウド共有 | 所有者、閲覧履歴、共有履歴、監査ログ |
| メール添付 | 送信履歴、宛先、添付ファイル名 |
| USBコピー | 端末ログ、ファイルアクセス履歴 |
| 印刷 | 印刷ログ、プリンター情報、透かし |
| 写真撮影 | 画像、背景、クラウド同期 |
触る前に考える
内部告発では、資料を外に出す瞬間だけでなく、資料に触る前からリスクが始まります。 どのアカウントで開くのか。 閲覧権限は誰にあるのか。 開いた時刻は不自然ではないか。 ダウンロードや印刷は監査される操作ではないか。
この確認をせずに動くと、あとから履歴を消すことは難しくなります。 クラウドは便利な作業場所であると同時に、操作の記録場所でもあります。 資料にアクセスする前に、どの操作がどこに残るのかを考えます。 特に、普段と違う時間や端末からのアクセスは目立つことがあります。 監査ログは利用者画面から見えないことがあるため、見えないから残っていないとは判断できません。
まとめ
クラウド履歴、共有履歴、編集履歴は、内部告発者にとって強いリスクになります。
作成者、閲覧者、共有先、コメント、過去版、ダウンロード時刻は、資料の流れと関係者を示します。
本文から名前を消しても、クラウド上の履歴に情報が残ることがあります。
内部告発では、クラウドを「ファイル置き場」ではなく「操作履歴を持つシステム」として考えます。
関連ツール
Tor Project
Tor Projectは、Tor BrowserとTorネットワークを開発・公開している公式プロジェクトです。
紹介する理由: Torは通信経路を隠す仕組みを学ぶ中心的な実例です。公式サイトでは、Tor Browserの入手、仕組み、利用上の注意を確認できます。
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/
MAT2
MAT2は、画像、PDF、Office文書など複数形式のメタデータ削除を目的としたローカルツールです。
紹介する理由: ファイル公開前に、ブラウザ上の簡易チェックだけでは見えにくいメタデータをローカル環境で減らす候補になるため紹介します。
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/