現在、見積書・請求書などのメール送信機能における「ダウンロードページ」方式に関する機能追加と、そのデフォルト状態の変更を予定しています。メールの送信時に「ダウンロードページ」方式を使用している場合、運用に際して影響が生じる可能性があるため、事前に告知いたします。
当記事の内容は、2024年12月8日に実施しました。新しいデフォルトの設定を変更してご利用になる場合は、当記事の「仕様変更の背景」をご確認の上、ご検討ください。
変更内容
boardのメール送信機能では、書類を「ダウンロードページ」方式で送付する際、ダウンロードページにアクセスするためのパスワードを設定できます。このパスワードの要否について、現在はデフォルトの状態が「OFF(不要)」になっていますが、後述の背景により、今後はデフォルトを「ON(パスワードを必要とする設定)」にする予定です。
また、パスワードの要否のデフォルトは、現在の仕組みでも「デフォルト設定(会社)」で「OFF」から「ON」に変更できますが、今回の変更に伴い、一旦すべてのアカウントで「ON(パスワードを必要とする設定)」がデフォルトになります。
そのため、もし引き続き「OFF(パスワード不要)」をデフォルトとして運用したい場合は、お手数ですが、後述の変更日以降に「デフォルト設定(会社)」画面で設定を変更してください。
*ただし、その際には以下の「仕様変更の背景」をご確認の上、対応をご検討いただきますようお願いいたします。
また、この変更に合わせて、新たに「パスワードONを必須にする(メール送信時にOFFにできないようにする)」機能を追加する予定です。この設定もデフォルトは「ON」になりますが、必要に応じて「デフォルト設定(会社)」で「OFF」に変更することができます。
変更時期
2024年12月8日(日)予定
仕様変更の背景
*技術的な説明を含みますので、あらかじめご了承ください。
メール送信機能の「ダウンロードページ」方式は、推測不可能な長いランダムな文字列を含むURLを用いて、検索エンジンにインデックスされない設定をすることにより、実質的にメール受信者以外はアクセスができないという仕組みになっています。
この仕組みは一般的に「URL共有」などと呼ばれるもので、boardに限らず、他のサービスでも採用されているものですが、boardにおける当機能の利用状況を調査したところ、ダウンロードページの有効期限をかなり長期に設定しているケースが多いことがわかりました。セキュリティー上、有効期限が長くなればなるほど、「検索エンジンにインデックスされない設定を無視するボットにアクセスされるリスク」や「偶発的にアクセスされるリスク」がわずかながら高まります。
そのような背景を踏まえて、外部のセキュリティーの専門家を交えて検討を行った結果、検索エンジンに限らず、昨今急速に増えているAI等の新しい仕組みによる情報収集のボットのリスクを未然に防ぐため、「ダウンロードページ」方式でメールを送信する際は、初期状態としてパスワードを必要とするように変更することにいたしました。
なお、今回の変更は「デフォルトの変更」のみのため、必要に応じてデフォルトを「OFF」にすることも可能です。たとえば、ダウンロードページの有効期限を数日程度に短くしている場合などは、有効期限が長いケースに比べてリスクは低いと考えられるため、利便性を優先して、デフォルトを「OFF」にする方法も考えられます。ただし、この場合もパスワードを「OFF」にする以上、上述のリスクは残りますのでご留意ください。
この対応に伴う影響
以下のようなケースに該当する場合は、影響が生じる可能性があります。
送信先が受領請求書サービスのケース
送信先が受領請求書サービスで、ダウンロードページからファイルを取得する仕組みの場合、パスワードに対応していなければ書類を取得できなくなる可能性があります。
これに対しては、多くの受領請求書サービスではメールに添付したファイルを処理できるようですので、「ダウンロードページ」方式ではなく「メール添付」方式で送付することをご検討ください。
参考:ヘルプ「書類送付方法について」
自社の保管用にダウンロードページからファイルを取得するプログラムを開発しているケース
自社の保管用にダウンロードページのスクレイピング等でファイルを取得する仕組みを開発しているような場合、同様の影響を受けると考えられます。
この場合、以下のいずれかの方法をご検討ください。
- 「ダウンロードページ」方式ではなく「メール添付」方式で送付し、メールの添付ファイルを取得するようにする
- boardでは「外部ストレージ連携」機能を提供しており、当機能ではメールで送信した書類PDFをGoogleドライブ・Box・Dropboxに連携することが可能なため、自社の保管用としてはそれを利用する。
- 詳しくはヘルプ「外部ストレージ連携(各サービス共通)」をご参照ください。