CleanReceiveでファイルを送るとき、受取URLだけでなく「閲覧キー」を設定することができます。閲覧キーは、ファイルのセキュリティを一段階高めるための機能です。URLが流出しても、キーを知らなければダウンロードできないようにします。

「URLを送れば安心」と感じている人は多いですが、URLは思わぬ形で広がることがあります。この記事では、そのリスクと閲覧キーの実践的な使い方を詳しく解説します。

閲覧キーとは何か

閲覧キーは、いわばパスワードです。CleanReceiveで発行された受取URLは、そのURLを知っていればダウンロードできます。一方、閲覧キーを設定した場合、受信ページを開くとキーの入力欄が表示され、正しいキーを入力しないとダウンロードボタンが現れません。

URLとキーを「2つの鍵」として使い分けることで、URLが誤って第三者に届いても、ファイルの中身は守られます。

URLだけで送ると何が起きるか

「URLを知っている人しか開かないから大丈夫」と思いがちですが、URLは思わぬ形で広がることがあります。

  • メールの誤転送・CC漏れ:相手が無意識にURLを含めたメールを転送してしまうケース
  • チャットツールの誤貼り付け:SlackやTeamsで別のチャンネルに誤って貼り付けてしまうミス
  • 共用PCのブラウザ補完:共用PCを使っている場合、URLのオートコンプリートから第三者がアクセスするリスク
  • メール監査ログへの記録:会社のメールサーバーが監査対象になった場合、URLが記録として残り続ける

これらは「悪意ある流出」ではなく、日常的なミスや運用の結果として起きます。閲覧キーを設定しておけば、URLが流出しても「キーを知っている人しか開けない」という防線を張れます。

閲覧キーの仕組み

どんな場面で使うべきか

すべてのファイル転送に閲覧キーが必要なわけではありませんが、以下のような場面には特に向いています。

  • 契約書・請求書・見積書など重要書類を送るとき
  • 個人情報が含まれるファイルを送るとき
  • 誤転送されても被害を最小限にしたいとき
  • 特定の相手にだけ見せたいとき
  • URLが社内外のチャットに流れやすい環境で送るとき

逆に、すでに公開している情報のまとめや社内の汎用資料など、誰が見ても構わないファイルには閲覧キーは不要です。ファイルの重要度に応じて使い分けるのがポイントです。

設定方法

CleanReceiveのアップロード画面で、「閲覧キー」のオプションをオンにします。任意の文字列を入力するか、自動生成された文字列をそのまま使うことができます。アップロード完了後、閲覧キーは完了画面に表示されます。このキーは再表示されないため、必ずコピーして保管してください。

閲覧キーの決め方と強度のコツ

自分でキーを設定する場合、以下のようなキーは推測されやすいため避けましょう。

  • 相手の名前・会社名(例:「yamada」「tanakacorp」)
  • 連番・繰り返し(例:「1234」「aaaa」)
  • ファイル名と同じ文字列
  • 日付そのもの(例:「20260526」)

おすすめは、アルファベット大文字と数字を混ぜた4〜8文字の組み合わせです(例:「K7RZ」「BX29W」)。短すぎると総当たり攻撃に弱く、長すぎると相手が入力しにくくなります。自動生成を使えばバランスの良いキーが発行されます。

相手への伝え方

URLと閲覧キーは、できれば別の手段で相手に伝えることをおすすめします。

  • URLはメール、キーはSMSで送る
  • URLはメール、キーは口頭(電話)で伝える

同じメールにURLとキーをまとめて送るのでも構いませんが、セキュリティを重視するなら分けることで万全を期せます。「メールが傍受されても、別ルートで伝えたキーを知られない限りファイルは開けない」という構造になります。

キーはハッシュ化して保存される

CleanReceiveでは、閲覧キーをSHA-256というアルゴリズムでハッシュ化してサーバーに保存しています。万が一データベースが漏洩した場合でも、元のキーを逆算することはできません。これはパスワード管理の標準的な手法と同じアプローチで、サービス側のスタッフですら元のキーを知ることができない設計です。

よくある疑問

Q. URLだけ先に送って、あとからキーを別で伝えることはできますか?
はい、問題ありません。URLをメールで先に送っておき、後からキーをSMSや電話で伝えるという使い方もできます。

Q. 相手がキーを忘れた・紛失した場合はどうなりますか?
サーバーには元のキーは保存されていないため、再発行はできません。ファイルを再アップロードして新しいURLとキーを発行し直すことをおすすめします。

Q. 間違えたキーを何度も試せますか?
連続して誤ったキーを入力した場合、一時的にアクセスがブロックされます。総当たり攻撃への対策として、試行回数に制限が設けられています。