クラウドストレージ セキュリティ比較2026:Google Drive・OneDrive・Dropbox・Boxを徹底検証
「クラウドにファイルを保存して本当に安全なの?」「会社の機密ファイルをDropboxに入れていいの?」——クラウドストレージの普及に伴い、こうした疑問が増えています。
結論から言えば、主要クラウドストレージはすべて一定の安全性を持っています。ただし、セキュリティの仕組み・コンプライアンス対応・プライバシーポリシーに大きな差があります。本記事では「セキュリティ」の観点に特化して4大サービスを徹底比較します。
目次
- クラウドストレージのセキュリティリスクを正しく理解する
- 比較サービス概要と市場シェア
- 暗号化比較:転送中・保存時・ゼロ知識
- アクセス制御・共有設定のセキュリティ
- コンプライアンス対応比較(ISMS・GDPR・医療・金融)
- ランサムウェア・誤削除に対する保護
- 料金・ストレージ容量比較【2026年最新】
- 個人・法人別の詳細評価
- セキュリティを高める追加設定10選
- 用途別おすすめマトリクス
- よくある質問(FAQ)
クラウドストレージのセキュリティリスクを正しく理解する
主なリスクカテゴリ
リスク1:不正アクセス(アカウント乗っ取り)
フィッシングやパスワード漏洩によりアカウントが乗っ取られると、保存データが丸ごと窃取されます。対策:MFA(多要素認証)の必須化。
リスク2:誤った共有設定(過剰共有)
「リンクを知っている全員が閲覧可能」の設定のまま機密資料を共有するミスが頻発。Google DriveやDropboxではURLを知っていれば誰でもアクセスできる設定がデフォルトに近いケースがあります。
リスク3:サービス側によるデータアクセス(ゼロ知識でない場合)
ほとんどのクラウドストレージは、サービス提供側がデータにアクセスできる構造です(法執行機関への開示対応、AIトレーニング等)。これが許容できない場合はゼロ知識暗号化サービスが必要。
リスク4:ランサムウェアによる同期ファイルの暗号化
PCをランサムウェアに感染させた後、クラウド同期で暗号化されたファイルが上書きされます。バージョン履歴による復元が重要。
リスク5:退職者・外部委託者のアクセス残存
アカウント削除・アクセス権剥奪の手続きが不十分なまま元従業員がアクセスできる状態が残るリスク。
リスクマップ:サービス別の脆弱ポイント
| リスク | Google Drive | OneDrive | Dropbox | Box |
|---|---|---|---|---|
| アカウント乗っ取り | 中(Googleアカウントに依存) | 中(MSアカウントに依存) | 中 | 低(MFA強制可) |
| 過剰共有 | 高(デフォルト設定に注意) | 中 | 中 | 低(管理者制御強) |
| プロバイダアクセス | あり | あり | あり | あり(E2EE非対応) |
| ランサムウェア復元 | ✓(30日) | ✓(30日) | ✓(180日〜) | ✓(無制限) |
比較サービス概要と市場シェア
| サービス | 親会社 | 本社所在地 | データセンター主拠点 | 主な対象 |
|---|---|---|---|---|
| Google Drive / Workspace | Google(Alphabet) | 米国 | 米国・EU・アジア | 個人・中小〜大企業 |
| OneDrive / Microsoft 365 | Microsoft | 米国 | 米国・EU・アジア(日本含む) | 個人・全規模企業 |
| Dropbox Business | Dropbox | 米国 | 米国・EU・アジア | 中小〜大企業 |
| Box | Box | 米国 | 米国・EU・日本 | 中〜大企業・金融・医療 |
日本市場における重要考慮事項
- データの居住地(Data Residency): 機密データを日本国内サーバーに限定したい場合、Microsoft 365(日本データセンター指定可)やBoxが対応しています
- FISA・クラウド法(CLOUD Act): 米国企業のクラウドは米国法執行機関の令状によりデータ開示が求められる可能性があります。政府・医療・防衛関連は国内ソリューションとの比較が必要です
暗号化比較:転送中・保存時・ゼロ知識
暗号化の3層を理解する
Layer 1:転送中の暗号化(In-Transit)
→ TLS 1.2/1.3でPC〜サーバー間を保護
→ 主要4サービスすべて対応(実質業界標準)
Layer 2:保存時の暗号化(At-Rest)
→ サーバー上のデータをAES-256等で暗号化
→ 主要4サービスすべて対応
→ ただし:暗号化キーをサービス側が管理(プロバイダはアクセス可能)
Layer 3:ゼロ知識暗号化(Zero-Knowledge / Client-Side)
→ ユーザーが暗号化キーを管理
→ サービス提供側もデータを閲覧不可
→ 主要4サービスは「標準では」非対応
→ 実現方法:Boxのマネージドキー / 追加ツール(Cryptomator等)
詳細暗号化比較
| 項目 | Google Drive | OneDrive | Dropbox | Box |
|---|---|---|---|---|
| 転送中暗号化 | TLS 1.3 | TLS 1.3 | TLS 1.3 | TLS 1.3 |
| 保存時暗号化 | AES-256 | AES-256 | AES-256 | AES-256 |
| 暗号化キー管理 | Google管理 | Microsoft管理 | Dropbox管理 | Box管理 |
| 顧客管理暗号化キー(CMEK) | ✓(Workspace Enterprise) | ✓(Microsoft Purview BYOK) | ✗ | ✓(Box KeySafe) |
| ゼロ知識(標準) | ✗ | ✗ | ✗ | ✗ |
| E2EE(エンドツーエンド) | ✗ | ✗ | ✗ | ✗(オプション調査中) |
| 第三者暗号化ツール対応 | ✓(Cryptomator等) | ✓ | ✓ | ✓ |
ゼロ知識が必要な場合の解決策
標準のクラウドストレージでゼロ知識を実現したい場合:
- Cryptomator(無料・オープンソース): フォルダをローカルで暗号化してからクラウドに同期。全サービスと互換性あり
- Boxcryptor(有料): クラウドストレージ特化の暗号化ツール。現在NordlockerがBoxcryptorを統合)
- Proton Drive: プロトン社が提供するゼロ知識クラウドストレージ(Proton VPN同社)
アクセス制御・共有設定のセキュリティ
共有機能のセキュリティリスク評価
| 機能 | Google Drive | OneDrive | Dropbox | Box |
|---|---|---|---|---|
| 管理者による外部共有の無効化 | ✓(Workspace) | ✓(M365管理) | ✓(Business) | ✓(全プラン) |
| リンク有効期限の設定 | ✓ | ✓ | ✓ | ✓ |
| リンクにパスワード設定 | ✗(Workspace標準) | ✓ | ✓(Plus以上) | ✓ |
| ダウンロード禁止オプション | ✓ | ✓ | ✓ | ✓ |
| フォルダ単位アクセス権 | ✓ | ✓ | ✓ | ✓(より細粒度) |
| グループポリシー統合 | ✓(Google Groups) | ✓(Active Directory) | △ | ✓(LDAP/SAML) |
| SIEM/DLP統合 | ✓(Chronicle) | ✓(Purview) | △ | ✓(Box Shield) |
| ゲストユーザー管理 | ✓ | ✓ | ✓ | ✓(細かい) |
Boxが法人で選ばれる理由
Boxはコラボレーション権限の設定が最も細粒度です。フォルダ内でも「アップロードのみ」「プレビューのみ」「ダウンロード禁止」等を個別設定できるため、外部委託者に必要最小限の権限だけ付与できます。またBox ShieldというDLP(Data Loss Prevention)機能で機密情報の外部流出を検知・制御できます。
コンプライアンス対応比較(ISMS・GDPR・医療・金融)
認証・対応規格一覧
| 規格・法令 | Google Workspace | Microsoft 365 | Dropbox Business | Box |
|---|---|---|---|---|
| ISO 27001 | ✓ | ✓ | ✓ | ✓ |
| SOC 2 Type II | ✓ | ✓ | ✓ | ✓ |
| GDPR(EU) | ✓ | ✓ | ✓ | ✓ |
| HIPAA(米国医療) | ✓(BAA必要) | ✓(BAA必要) | ✓(Business Plus+) | ✓ |
| FedRAMP(米国政府) | ✓(GovCloud) | ✓(GCC High) | ✗ | ✓ |
| ISMAP(日本政府クラウド) | ✓(Google Cloud) | ✓(Azure) | ✗ | ✓ |
| FISC(日本金融機関) | △(要確認) | △(要確認) | ✗ | ✓(対応実績あり) |
| データ居住地(日本国内) | △(リージョン指定可だが保証要確認) | ✓(Japan Data Residency) | ✗ | ✓(日本DC選択可) |
業種別推奨
| 業種 | 推奨サービス | 理由 |
|---|---|---|
| 一般企業(SMB) | Microsoft 365 / Google Workspace | コストと機能のバランス |
| 医療・福祉 | Box または Microsoft 365 | HIPAA・医療情報セキュリティガイドライン対応 |
| 金融 | Box | FISC対応実績・日本DCあり |
| 政府・官公庁 | Microsoft 365 GCC / Google GovCloud | ISMAP登録 |
| 法律事務所・士業 | Box または OneDrive(高度な権限制御・監査ログ) | 守秘義務・証拠保全対応 |
ランサムウェア・誤削除に対する保護
バージョン履歴・削除ファイル保持期間
| サービス | 通常版バージョン履歴 | 拡張版 | ゴミ箱保持期間 |
|---|---|---|---|
| Google Drive | 30日 / 100バージョン | 追加購入で延長 | 30日 |
| OneDrive | 30日 | Microsoft 365 Family以上で無制限 | 30日(93日まで復元可) |
| Dropbox Personal | 30日(Plus: 180日) | 365日(Professional・Business) | バージョン履歴と同期 |
| Dropbox Business | 180日 | 365日(Business Plus) | 同上 |
| Box | 無制限(プランによる) | Enterprise+は無制限 | 30日 |
ランサムウェア攻撃シナリオでの復元力
シナリオ: PC感染後、同期フォルダ内の1万ファイルが暗号化され、クラウドに同期された
| サービス | 一括復元の可否 | 操作の手間 | 注意点 |
|---|---|---|---|
| Google Drive | ✓(admin一括復元) | 中 | Workspace Adminが必要 |
| OneDrive | ✓(ランサムウェア検知アラート+ガイド付き復元) | 低(Microsoft がガイド) | 個人版は検知機能あり |
| Dropbox | ✓(Business Plusなら365日分) | 中 | バージョン履歴から手動選択 |
| Box | ✓(管理者がフォルダ単位で復元) | 中 | Box Shieldで自動検知も可 |
OneDriveが評価される点: Microsoft Defenderと連携し、ランサムウェア検知時に自動通知 → ガイド付き復元が最もユーザーフレンドリー。
料金・ストレージ容量比較【2026年最新】
個人向けプラン
| サービス | 無料容量 | 有料最小プラン | 容量 | 月額(目安) |
|---|---|---|---|---|
| Google Drive | 15GB(Google全体) | Google One 100GB | 100GB | 約250円 |
| OneDrive | 5GB | Microsoft 365 Basic | 100GB | 約260円 |
| Dropbox | 2GB | Plus | 2TB | 約1,600円 |
| Box | 10GB(個人) | Personal Pro | 100GB | 約1,200円 |
ビジネス向けプラン(ユーザー単価・月額目安)
| サービス | プラン | ストレージ | 月額/ユーザー(目安) | 最低ユーザー数 |
|---|---|---|---|---|
| Google Workspace Business Starter | 30GB/ユーザー | 約¥680 | 1名〜 | |
| Google Workspace Business Standard | 2TB/ユーザー | 約¥1,360 | 1名〜 | |
| Microsoft 365 Business Basic | 1TB/ユーザー | 約¥540 | 1名〜 | |
| Microsoft 365 Business Standard | 1TB/ユーザー | 約¥1,360 | 1名〜 | |
| Dropbox Business | 15TB(チーム共有) | 約¥1,500 | 3名〜 | |
| Dropbox Business Plus | 無制限 | 約¥2,400 | 3名〜 | |
| Box Business | 無制限 | 約¥1,650 | 3名〜 | |
| Box Enterprise | 無制限+高度管理 | 要見積もり | — |
価格は参考値です。為替変動・契約形態により変動します。各公式サイトで最新価格をご確認ください。
コスト・セキュリティ機能バランス評価
個人・節約重視:Google Drive(無料15GB)またはOneDrive(Microsoft 365で1TB)
個人・大容量:Dropbox Plus(2TB・比較的安価)
法人・コスパ:Microsoft 365 Business Basic(OneDrive 1TB + Exchange + Teams込み)
法人・セキュリティ最優先:Box Business(詳細権限・監査ログ・Box Shield)
法人・全部入り統合:Microsoft 365 Business Premium(セキュリティツールもバンドル)
個人・法人別の詳細評価
Google Drive / Google Workspace ★★★★☆
セキュリティ強み:
- Googleアカウントの高度なセキュリティ(不審ログイン検知が業界最高水準)
- Google Workspaceの管理コンソールは外部共有・デバイス管理が詳細設定可能
- Google Vaultによる法的ホールド・eDiscovery対応
セキュリティ弱み:
- デフォルト設定で「リンクを知っている全員が閲覧可」になりやすい(設定確認必須)
- 暗号化キーはGoogle管理(Enterprise向けにCSE:Client-Side Encryptionオプションあり)
- プライバシーポリシー上、診断データの収集がある
最適用途: Google系ツール(Gmail・Docs・Meet)を既に活用している中小企業
Microsoft OneDrive / Microsoft 365 ★★★★★
セキュリティ強み:
- Microsoft Defenderとの深い統合(ランサムウェア検知・復元ガイド)
- Azure Active Directory(Entra ID)によるSSO・条件付きアクセス
- Microsoft Purview:DLP・情報保護ラベル・コンプライアンス管理
- 日本データセンターでのデータ居住地保証が可能
セキュリティ弱み:
- 高度なセキュリティ機能はBusiness PremiumやE3以上が必要
- 設定の複雑さ(機能が多すぎて適切な設定をしないと穴ができる)
最適用途: Windows中心の企業、Microsoft 365を既に導入している企業
Dropbox Business ★★★☆☆
セキュリティ強み:
- バージョン履歴(Business Plusで365日)
- 外部共有リンクのパスワード・有効期限設定
- リモートデバイスワイプ(デバイス紛失時)
セキュリティ弱み:
- 競合と比べてコンプライアンス対応が限定的(金融・医療には不向き)
- 顧客管理暗号化キーなし
- Active Directoryとの統合が競合比で弱い
最適用途: ファイル共有・コラボレーション中心の中小企業・クリエイター向け
Box ★★★★★(法人セキュリティ最高水準)
セキュリティ強み:
- 権限設定の細粒度が業界最高(「プレビューのみ」「アップロードのみ」等)
- Box Shield:AIによる異常アクセス検知・DLP
- Box KeySafe:顧客管理暗号化キーによるゼロ知識に近い実装
- 法令対応の幅が最広(HIPAA・FedRAMP・FISC対応実績)
- 無制限バージョン履歴
セキュリティ弱み:
- コストが高め(特にEnterprise以上)
- 通常のコラボレーションツールとしての使い勝手はGoogleやMSに劣る
- 日本での認知度・サポート体制がやや弱い
最適用途: 金融・医療・法律・政府系、高度なコンプライアンスが必要な大企業
セキュリティを高める追加設定10選
全サービス共通で実施すべきセキュリティ強化設定:
✓ 1. MFA(多要素認証)の全アカウント必須化
✓ 2. 外部共有のデフォルトを「組織内のみ」に変更
✓ 3. 共有リンクに有効期限とパスワードを設定する習慣
✓ 4. 退職者アカウントの即日無効化フローを整備
✓ 5. 管理者アカウントと一般利用アカウントの分離
✓ 6. デバイス紛失時のリモートワイプ設定
✓ 7. 監査ログの定期確認(月次推奨)
✓ 8. 外部アプリとのOAuth連携を定期的に棚卸し
✓ 9. バージョン履歴の保持期間を確認・延長
✓ 10. 機密フォルダへのアクセスは最小権限の原則で設定
追加:Cryptomatorによるゼロ知識暗号化(無料)
機密ファイルをクラウドに保存したいがプロバイダには見られたくない場合:
1. cryptomator.org からインストール(無料・オープンソース)
2. クラウド同期フォルダ内に「Vault(金庫)」を作成
3. Vault内に保存されたファイルは自動的に暗号化されてからクラウドに同期
4. 復号化はCryptomatorアプリのみが可能(プロバイダはアクセス不可)
用途別おすすめマトリクス
| 状況・要件 | 推奨サービス | 理由 |
|---|---|---|
| 個人・Googleユーザー | Google Drive | 無料15GB・Docs統合 |
| 個人・Windowsユーザー | OneDrive | PC標準・Microsoft 365と統合 |
| 個人・大容量・クリエイター | Dropbox Plus | 2TB・使いやすさ |
| 中小企業・コスパ重視 | Microsoft 365 Business Basic | OneDrive + Exchange + Teams |
| 中小企業・Google ワークスペース活用 | Google Workspace Business | Docs・Gmail統合 |
| ファイル共有中心・外部コラボ多い | Dropbox Business | 直感的な共有機能 |
| 金融・医療・高コンプライアンス | Box Business/Enterprise | 業界最高のコンプライアンス |
| データを日本国内に置きたい | Microsoft 365(日本DC)またはBox | 国内データ居住地対応 |
| 最大限のセキュリティ(ゼロ知識) | いずれか + Cryptomator | プロバイダにも見られない |
よくある質問(FAQ)
Q. クラウドストレージを使うとデータが海外に保存されますか?
A. 多くの場合、グローバルなデータセンターに保存されます。日本国内への限定が必要な場合は、Microsoft 365の日本データ居住地オプションやBoxの日本DCオプションを確認してください。設定が確実に適用されているかベンダーに書面で確認することを推奨します。
Q. Google DriveにはGoogleにデータを見られる可能性がありますか?
A. Googleはデータを暗号化して保存していますが、暗号化キーはGoogleが管理しています。技術的にはアクセス可能な状態です。GoogleはプライバシーポリシーおよびGoogleワークスペースの利用規約上、広告目的での個人ファイル閲覧は行わないと明記していますが、法執行機関からの要求には対応します。絶対に見られたくない場合はCryptomatorを併用してください。
Q. DropboxとOneDriveはどちらが安全ですか?
A. 基本的な暗号化・セキュリティ基準は同等です。ビジネス用途では、OneDriveはMicrosoft製品との統合・コンプライアンス機能・日本データ居住地対応でやや優勢です。Dropboxは使いやすさと外部共有の利便性で優れています。
Q. 無料プランでもセキュリティは十分ですか?
A. MFA設定・共有設定の最適化は無料プランでも実施できます。ただし、監査ログ・高度なアクセス制御・長期バージョン履歴・コンプライアンス認証は有料プランが必要な場合が多いです。
Q. クラウドストレージとクラウドバックアップの違いは何ですか?
A. クラウドストレージは「ファイルのアクセス・共有・同期」が目的。クラウドバックアップは「データの保護・復元」が目的です。クラウドストレージはランサムウェア感染時に同期ファイルが上書きされるリスクがあります(バージョン履歴で対応可能ですが万全ではありません)。重要データは別途バックアップソリューションを用意してください。
Q. 社員が退職した際のデータアクセス管理はどうすれば?
A. 退職日当日にアカウントを無効化し、所有ファイルを管理者または後任者に移行してください。Google WorkspaceとMicrosoft 365はいずれも管理コンソールからアカウント停止・データ移行が可能です。事前にオフボーディングフローを文書化しておくことを強く推奨します。
まとめ:2026年クラウドストレージ選択の最終判断
| 選択基準 | 勝者 | 理由 |
|---|---|---|
| 無料で使い始めるなら | Google Drive | 無料15GBが業界最大 |
| Windowsとの統合 | OneDrive | PC標準・Defenderとの連携 |
| 使いやすさ | Dropbox | 直感的・バージョン履歴が長い |
| 法人セキュリティ・コンプライアンス | Box | 細粒度権限・コンプライアンス対応幅 |
| コスパ(法人) | Microsoft 365 | OneDrive + Exchange + Teams + Defender |
| ゼロ知識 | いずれか + Cryptomator | サービス単体では提供なし |
最終推奨: 特別な要件がない中小企業ではMicrosoft 365 Business Standard(OneDrive + Exchange + Teams + Office apps + Defender for O365 P1が一体化)が最もコストパフォーマンスに優れています。Google Workspaceを既に活用している場合はそのまま継続し、設定の最適化に注力するアプローチが現実的です。