取引先とのデータ共有はどこまで許容すべきか ― サプライチェーンリスクを見据えた「見せる」と「渡す」の分離 | Security Days Spring 2026 東京セッション③

2026年3月24日から3月27日にかけて開催された「Security Days Spring 2026 東京」で、株式会社ソリトンシステムズはサプライチェーンセキュリティや認証強化をテーマに講演しました。

3月27日のセッションB4-07では、株式会社ソリトンシステムズ ITセキュリティ事業部プロダクトマーケティング部前田和加が登壇し、「取引先とのデータ共有はどこまで許容すべきか ― サプライチェーンリスクを見据えた『見せる』と『渡す』の分離」をテーマに、取引先とのデータ共有で生じる情報漏えいリスクと、その抑制策を扱いました。

株式会社ソリトンシステムズ
ITセキュリティ事業部
プロダクトマーケティング部
前田和加

取引先やグループ会社との共同業務では、業務データを共有しなければ進めにくい場面があります。問題は、共有そのものではありません。共有したデータが相手先の端末やローカル環境に残り、その後の取り扱いを自社側で統制しにくくなることです。セッションでは、この課題を「見せる」と「渡す」の違いから捉え直し、VDI、セキュアブラウザ方式、セキュアコンテナ方式などの選択肢を順に取り上げました。

取引先とのデータ共有は、業務の中で避けにくくなっている

取引先とのデータ共有には、いくつもの形があります。打ち合わせの場でPC画面を見せる、紙で配布して最後に回収する、クラウド上で共有する、メールに添付する、共同利用システムを使う。共有の度合いは、まったく見せない状態から、業務システムを共同利用する状態まで幅があります。

2025年5月にソリトンが実施したインターネット調査では、SaaS、IaaS/PaaS、データセンター、社内サーバーのいずれかで、他組織と業務システムを共同利用している回答者が全体の約71%にのぼりました。検討中まで含めると、組織を越えたシステム共有は、より広い範囲で検討対象に入っています。

共有が進む一方で、情報漏えい対策への不安も残ります。特に製造業では、「取引先で業務データの取り扱いを統制できていない」と回答した割合が58.5%でした。自社の端末やシステムであればルールや技術的な制御を適用しやすいものの、取引先のエンドポイントまで同じ水準で統制することは簡単ではありません。

サプライチェーンや委託先を狙った攻撃は、IPA「情報セキュリティ10大脅威 2026」でも組織向け脅威の上位に位置づけられています。各種セキュリティガイドラインでも、サプライチェーンを含めたセキュリティ強化が扱われています。取引先とのデータ共有を前提にするなら、共有後のデータがどこに残るのかを確認範囲から外せません。

「渡した」重要データを守るほど、対策は複層化する

情報セキュリティを考えるうえで、認証強化と重要データの保護はどちらも外せない要素です。正しい利用者だけがアクセスできる状態を作ること。不正に侵入された場合でも、重要な情報を漏えいさせないこと。この2つは別の役割を持ちます。

今回のセッションで焦点になったのは、後者の重要データの保護です。共通基盤、共通システム、共同利用クラウドから取引先にデータを共有する場合、クラウドからのダウンロードを制御する、暗号化する、DLPを使う、リモートワイプを組み合わせるといった方法が考えられます。

ただし、データを取引先側の端末に渡した時点で、その端末上で誰がどこまで制御できるのかが問題になります。暗号化していても、パスワード管理や権限の扱いによっては、保護が十分に働かない可能性があります。DLPやリモートワイプも、対象範囲、端末状態、運用手順によって、機能する範囲が変わります。

この構造では、1つの仕組みで完結させるより、複数の方法を重ねる考え方になりがちです。複層的な保護が有効な場面はあります。しかし、対象が取引先の端末まで広がると、導入範囲、管理権限、運用負荷、コストの調整は難しくなります。そこで、そもそも重要データを端末に残さない共有方法が検討対象になります。

VDIは「見せる」共有を実現する一方、負荷の見極めが必要になる

重要データを「渡す」のではなく「見せる」共有にすれば、取引先の端末にデータを残さずに済みます。この考え方を実現する代表的な方法がVDIです。サーバー側にあるデスクトップ環境の画面だけを転送し、取引先の環境から遠隔アクセスするため、端末側にデータが残りにくい構成を取れます。

VDIは、データ共有と情報漏えいリスクの抑制を両立させる方法の一つです。アプリケーションや業務環境を比較的柔軟に扱える点もあり、これまでさまざまな場面で採用されてきました。

一方で、VDIを継続利用する際には、コスト、運用負荷、ユーザビリティを分けて把握しておく必要があります。講演資料では、継続的な円安やメーカーのポートフォリオ刷新によるライセンス費用の上昇、高スペックかつ複数台にわたるサーバー環境の維持、仮想化関連エンジニアの不足、サーバーリソースや通信環境への依存が課題として挙げられました。

Web会議を併用する場合の使い勝手も、方式選定時の確認項目です。利用者数が増えれば、サーバーや通信環境への負荷も増えます。利用するアプリケーションが増える場合も同じです。安全に「見せる」共有を実現できても、日常業務で使い続けるための負荷が大きくなれば、別の方式も比較対象に入ります。

この流れで参照されたのが、総務省「テレワークセキュリティガイドライン第5版」に示されている方式比較です。テレワークとサプライチェーン上のデータ共有は、目的こそ異なりますが、遠隔から業務環境へアクセスし、利用者側の端末やネットワークを自社だけで完全には統制しにくいという点で共通しています。そのため、端末にデータを残さず業務を行う方式の比較は、取引先との情報共有を考えるうえでも参考になります。

同ガイドラインでは、リモートデスクトップ方式、セキュアコンテナ方式、セキュアブラウザ方式も、端末にデータを渡さない方式として取り上げられています。セキュリティ統制だけでなく、導入コスト、作業負荷、Web会議や日常業務との相性まで含めて比べることが、方式選定の軸になります。

セキュアブラウザ方式とセキュアコンテナ方式で、端末に残さない共有を考える

セキュアブラウザ方式は、Webページ上のデータ閲覧を認めつつ、他アプリケーションとのコピー＆ペースト、ファイルの受け渡し、保存領域へのダウンロードなどを制御する方式です。通常のWebブラウザでは、マルウェア感染、機密情報の外部出力、ファイル持ち出しなどのリスクが残ります。セキュアブラウザでは、閲覧を許可しながら、端末側にデータを残さないよう制御します。

Soliton SecureBrowserは、取引先のユーザー端末にデータを渡さずに共有するためのセキュアブラウザ方式のソリューションです。端末ローカルにデータを残しにくい構成、ログアウト時のデータ自動削除、Windows、Mac、iOS、Android、Chromebookへの対応が示されています。専用ゲートウェイによる認証とアクセス制御により、WebシステムやWebメール、SaaS利用時の不正利用を抑える構成です。

セキュアコンテナ方式は、端末内に隔離領域を作り、その領域内だけで業務データを扱う方式です。業務データを隔離領域内に留め、ローカル領域へのコピーや移動を制御します。利用終了時にデータを削除することで、取引先の端末にデータが残るリスクを抑えます。

Soliton SecureWorkspaceは、取引先のユーザー端末とアプリケーションをそのまま使いながら、安全な隔離領域内でのみデータを扱うためのソリューションです。ブラウザ、Officeアプリ、Web会議などを普段の業務に近い操作感で利用できること、隔離領域内のファイルやデータをローカル領域へ移動・コピーできないこと、専用ゲートウェイによって隔離領域からのアクセスを制御できることが示されました。

ファイルサーバーをWindowsエクスプローラーの操作感で扱える点や、通信が途絶した場合でも隔離領域内で作業状態を維持できる点も、セッション内で取り上げられました。アカウント、グループ、組織ごとのポリシー設定や、Windows標準のRDP接続を隔離領域内で利用する構成も、取引先とのデータ共有を検討する際の選択肢になります。

共有してよい情報と、残してはいけないデータを分ける

セッションのまとめでは、重要データを取引先に共有すること自体が問題なのではない、という考え方が示されました。業務上必要な共有は残ります。焦点になるのは、共有したデータが取引先の端末に残り、その後の取り扱いを統制しにくくなることです。

重要データを「渡す」のではなく「見せる」。さらに、見せた後に「残さない」。この考え方を起点にすると、VDI、セキュアブラウザ方式、セキュアコンテナ方式、リモートデスクトップ方式の位置づけを比較しやすくなります。すべての業務を同じ方式に寄せるのではなく、Webシステムの閲覧、Officeファイルの編集、ファイルサーバー利用、取引先端末の管理範囲などに分けて考えることが現実的です。