清水理史の「イニシャルB」

紛失なし! 公開なし! 鉄則は「ファイルを出さない」こと! 今こそ見直すOneDriveの「個人用Vault」

 紛失=不祥事と扱われがちなUSBメモリーの代わりに、重要なファイルの保管や持ち運びに、OneDriveの「個人用Vault」を活用してみてはどうだろうか?

 個人用Microsoftアカウントのみの機能となるためビジネス向きではないが、物理的に紛失する恐れがないし、共有ミスによってうっかり公開されることもない。

「個人用Vault」は個人用のOneDriveでのみ利用できる

 無料版における3ファイル制限も運用次第で回避できるので、もう一度、見直す価値がありそうだ。

どうしてもデータを持ち運ばなければならないとしたら?

 もちろん、社内規定や契約などで禁止されているのであれば、あきらめるしかないが、会社から自宅、本社から支店、国内から海外など、何らかの理由でデータを持ち運ばなければならないケースがある。

 従来、こうしたケースで活躍してきたのがUSBメモリーだ。手軽にデータを保存でき、軽量・コンパクトで持ち運びも便利と、実用性の高いデバイスだが、この唯一の欠点は「紛失しやすい」ことにある。

 筆者も、買ったばかりUSBメモリーが見つからなくなったり、久しぶりに開けたカバンの中で複数のUSBメモリーと再会したりした経験が何度もあるが、とにかくなくしやすい。

 もちろん、BitLockerなどで暗号化しておけば、USBメモリーそのものを紛失しても、データ漏えいに直結するとは限らない。しかし、保存されているデータが重要であればあるほど、実被害に関係なく紛失した時点で即「不祥事」認定されてしまうので、こうしたリスクを考えると、もはや割に合わないメディアとも言えそうだ。

 そこで活用したいのが、MicrosoftのOneDriveで提供されている個人用Vaultだ。追加の認証機能でセキュリティが強化されたクラウドストレージをUSBメモリーの代わりに活用する方法を見てみよう。

OneDriveの「個人用Vault」とは

 OneDriveの個人用Vaultは、2019年にリリースされたOneDriveの機能だ。職場や学校のMicrosoftアカウント(OneDrive for Business)では利用できず、個人向けのMicrosoftアカウントでのみ利用可能なサービスで、無料で提供される5GBまでのOneDriveアカウントであっても、3ファイルまでの制限付きで利用可能だ。

 通常のOneDriveと同様にフォルダーとして参照可能だが、いくつかのセキュリティ機能が追加されており、金庫のように重要なファイルを保存するための領域として利用することができる。その特徴は以下の通りだ。

本人確認が必要

 個人用Vaultを開くには、指紋、顔、SMS、認証アプリなどを利用した追加の認証が必要になる。追加の認証ができないと、保管されているファイルにアクセスできない。

自動ロック

 ロックの解除後、一定時間アクセスがないと、自動的にロックをかけることが可能。標準では20分(20分/1時間/2時間/4時間を選択可能)で自動的にロックされるため、鍵の閉め忘れによるトラブルを回避できる。

共有が禁止される

 個人用Vaultに保存されたファイルは、ほかのOneDrive上のファイルと異なり、共有が禁止される。これにより、共有リンクなどから、うっかりクラウド上で公開されることがない。

暗号化されて保管される

 OneDriveのデータは、もともとクラウド上には暗号化された状態で保管されている。一方、ローカルに保存されるデータは、BitLockerとの組み合わせで暗号化が可能だ。市販のPCの場合、標準でストレージが暗号化されていることが多いので、この機能で保護される。

セットアップ

 使い方は簡単で、ウィザードに従って有効化するだけでいい。通知領域のOneDriveのアイコンを開くと、「Personal Vault」の案内が表示されるので、これを有効化すればいい。

OneDriveアプリから有効化できる

 本人確認には、Microsoftアカウントで設定されている追加の認証方式が使われるので、「https://account.microsoft.com/security/」から、メールやSMS、Authenticatorアプリなど任意の方法を設定しておく。

 設定が完了すると、エクスプローラーの[OneDrive - Personal]から[個人用 Vault]のショートカット(フォルダーではないので注意)を参照できるので、これをダブルクリックして開くと前述の追加の認証が実施され、許可されるとフォルダーが表示される。

 あとは、通常のフォルダーと同様にデータをコピーしたり、ダブルクリックしてアプリでファイルを開いたりして利用することができる。

個人用Vaultのショートカットからフォルダーにアクセスできる

個人用Vaultの鉄則「ファイルを出さない」

 さて、このような個人用Vaultだが、このフォルダーの使い方の鉄則は、「ファイルを出さない」ことだ。

 保存したファイルを安全に利用するには、個人用Vaultに保存したままファイルを開いたり、個人用Vault内のフォルダーに限ってファイルのコピーや移動をしたりする必要がある。ファイルが個人用Vault内に存在する状態なら、前述した特徴のように、参照のために本人確認が必要な上、共有リンクの作成なども拒否される。

個人用Vault内にあれば多要素認証でアクセスを保護できる
個人用Vault内のファイルは共有リンクも作れない

 個人用Vaultからファイルを通常のフォルダーへコピーしたり、メールにドラッグして添付したりすると、ファイルはその時点で個人用Vaultの保護から外れてしまう。

 このため、別のデバイスでデータを参照したいときも、必ず個人用Vaultからファイルを開く必要がある。ウェブブラウザーを使ってOneDriveの個人用Vaultを開いてもいいし、スマートフォンのOneDriveアプリから個人用Vaultにアクセスしてもいい。

 とにかく、データを個人用Vaultの中で直接開く限りは、追加認証や共有禁止などの保護の恩恵を受けることができる。なので、保護したいファイルは個人用Vaultから出さないように心掛ける必要がある。

3ファイル制限はZIPやVHDで回避可能

 個人用Vaultの欠点は、無料版のアカウントではファイルを3つまでしか保存できない点にある。

 USBメモリーの代わりとして、一時的にデータを保管したり移動したりすることが目的なら問題はないが、どうしても3ファイル以上を利用したいときは、ZIPや仮想ディスクを利用する手がある。

無料版では3ファイル以上のファイルは同期されない

 例えば、3つ以上のファイルを1つのZIPファイルとしてまとめれば、1ファイルとしてカウントされるため、事実上3つ以上のファイルを個人用Vaultに保管できる。

 WindowsならダブルクリックでZIPの中身を参照できるし、アプリからファイルを開くこともできる。ZIP内のファイルは、直接読み取り専用で開くため編集はできないが、ZIPからのファイルの取り出しや、ZIPへのファイルの追加はドラッグ操作でできるので、編集したいファイルは、いったんZIPから取り出し(もちろん個人用Vault内で!)、編集後にZIPへ戻せばいい。

ZIPファイルを活用した例。無料版では3ファイルしか保存できないが、ZIP内であれば複数ファイルを保管できる

 また、ディスクの管理から、OneDriveの無料枠である5GB以下の仮想ディスク(VHDファイル)を作成し、それを個人用Vaultに保存しておいて、必要なときだけマウントする手もある。

 この場合、ドライブとして認識されるので、より自由にデータを扱うことができる。もちろん、この場合も鉄則は同じで、絶対にデータを個人用Vault(仮想ディスクのドライブ)から出さないことが重要だ。

VHDファイルを保存し、必要に応じてマウントする手もある

 なお、いずれの方法も、個人用Vaultの機能によって共有リンクの作成が拒否されるので、クラウド上でも間違って公開される心配はない(ZIPやVHD内のファイルも共有リンクは作成不可)。

 このため、PCからの利用であれば実用上は問題ないが、残念ながらウェブブラウザーやスマートフォンのアプリではデータを扱えない(ZIPはダウンロードすれば利用はできるが、VHDは開くことすらできない)ことが欠点となる。

 こうした制限なく、3つ以上のファイルを利用したいのであれば、やはり有料版(Microsoft 365 Personalなど)を契約する必要があるだろう。

個人用Vaultの3つの疑問

 このように、USBメモリーの代わりにデータの安全な移動に活用できそうな個人用Vaultだが、いくつかの疑問がある。

ファイルの実体はどこにあるのか?

個人用Vaultのショートカットは開く前は「odopen://」、開いた後は個人用Vaultフォルダーへのリンクとなるが、その実体がどこにあるのかは分からなかった

 残念ながら、これは分からなかった。

 前述したように、個人用Vaultはフォルダーではなく、ショートカットとして提供されている。このショートカットには、認証前は「odopen://unlockVault/?accounttype=personal」が割り当てられており、認証後は「C:\Users\ユーザー名\OneDrive\個人用 Vault」に変化する。

 Microsoft 365公式ブログの該当記事によると、「Windows 10(1903以降)では、個人用Vaultのファイルが自動的に、ローカルハードドライブのBitLockerで暗号化された領域と同期されます」とある。

 なので、同期先の領域がどこかに存在するはずで、実機で検証もしてみたのだが、個人用Vaultの保管先の領域(それがパーティションなのか仮想ディスクなのかも分からない)を探し出すことができなかった。

オフラインで使えるのか?

PCの場合、オフラインだと利用不可。
スマートフォンアプリの場合はオフラインでの使用が可能

 PCの場合、オフラインだと個人用Vaultは利用できない。ネットワークから切り離した状態で「個人用Vault」をダブルクリックすると、「OneDriveに接続するときに問題が発生しました」と表示され、フォルダーを開くことができないのだ。

 一方、スマートフォン向けアプリの場合、本体にキャッシュがあればオフラインでもファイルを参照できるし、特定のファイルをオフラインでキャッシュするように指定することもできる。

PCから物理的にストレージを取り出されたらどうなるのか?

 まず、PCでBitLockerが有効になっている場合、個人用Vaultのデータも暗号化されているため、取り出したストレージを別のPCに接続するなどしてデータを読み出すことは、不可能とは断言できないが、非常に困難だ。

 一方、BitLockerが有効になっていない場合、ストレージを別のPCなどに接続することで、[個人用Vault]へのショートカットは参照できる。

 ただし、このリンクは、前述したように「odopen://unlockVault/?accounttype=personal」という汎用的なリンクで、ここから個人用Vaultのデータそのものを参照したり、ユーザーに結び付けられた認証を実施したりするものではない。このため、このショートカットから個人用Vaultのデータの中身を参照することは不可能となる。

 問題は、個人用Vaultのデータの実体にアクセスできるかどうかなのだが、前述したように、この実体がどこにあるのかが分からない。このため、BitLockerが無効の場合にどうなるかは不明だ。

BitLockerなしの状態の仮想マシンで個人用Vaultを有効化後、そのVHDをホストPCに直接マウントして読み込んでみた。個人用Vaultのショートカットはアクセスできるが、起動してもホストPC側の個人用Vaultの認証画面となる。もちろん、BitLockerが有効なら、そもそもアクセスできない

 1つ言えるのは、個人用Vaultを安心して使いたいなら、BitLockerもオンにしておくということだ。

工夫次第で活用の幅は広がりそう

 以上、あらためてOneDriveの個人用Vaultを検証してみたが、冒頭でも触れたように、USBメモリーと異なり、物理的に紛失する心配もなければ、クラウドストレージならではのリスクである意図せぬ公開も避けられるため、ちょっとしたデータの持ち運びなどに活用するメリットは高いと言えそうだ。

個人情報を含む情報を保存するためのテンプレートが用意されているので、安全性には自信があると考えてよさそう

 もちろん、絶対安全とは言い切れないので、本稿としてもデータの持ち運びを推奨するものではなく、個人向けMicrosoftアカウントの機能となるためビジネスシーンでの利用も推奨はできない。

 しかしながら、少なくとも、通常のOneDriveよりは安全だし、USBメモリーのようなメディアでデータを物理的に持ち運ぶよりも、リスクは低いと考えられる。

 iOS向けのOneDriveアプリを見る限り、「運転免許証」など漏えいして欲しくない個人情報をスキャンして取り込むための項目まで表示されているので、Microsoftとしては、データの保護にはある程度の自信があるかと思われる。

 工夫次第で活用の幅が広がりそうなサービスなので、この機会に試してみるといいだろう。

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。