ここ数日、Trelloの公開設定および意図しない情報漏洩が話題となっていますが、決して他人事とはいえません。零細事業者がセキュリティ対策として何をできるか考えてみたいと思います。

Trelloの公開設定が問題に

今週に入ってから、Trelloというタスク管理サービスでの意図しない情報漏洩が問題となっています。

報道やTrello側の発表を見る限りでは、影響を理解しないまま公開設定を変更してしまったことが原因のようですが、私もTrelloを仕事で使っていますので、決して他人事とはいえない状況です。

Trelloを使われているのであれば、

  1. 「Trello 組織名(or個人名)」で検索して、公開されていないかチェックする
  2. ボードの公開設定を確認する(状況に応じて「非公開」or「チームに公開」に設定)
  3. チームの公開範囲についても確認しておく(通常の使用であれば「非公開」と思われます)

2・3の具体的な設定方法については、Trelloの以下の記事などを参照してください。

プライバシー設定を使って Trello ワークフローを安全に保護

チームの管理

チームを作成

零細事業者でもできるセキュリティ対策は?

セキュリティ事故については、「起こさない」ことが最も大事ではありますが、そのためには教育・訓練が必要となり、時間・コストともにかかります。

その一方で、「セキュリティ事故が起きていること」に気付くかどうかについては、専門スタッフがいる大企業であれば、そうした方達に見つけてもらえる可能性は高くなりますが、そうしたスタッフがいない中小企業や零細事業者ではそもそも気付かないという可能性が大いにあります。

そうなると、今回のような事例を受けて、私のような個人事業主も含めた零細事業者が、取り急ぎできる対策としては、

「チェックリストをつくって、定期的に設定を確認すること」

になるでしょう。

こうしたことを行う場合には、

  • 情報漏洩などの可能性がある使用中のサービスを洗い出す
  • ファイル共有・公開設定などの確認方法を整理しておく
  • 定期的なタスクとして、業務の中に組み込む

という3点が重要になります。

今回、チェックを行うためのたたき台として、次のようなチェックリストを作成してみました。

まだ基本的な内容しかリストに織り込めていませんが、今後気付いたものから順次付け加えていく予定です。

このように、気になること・心配なことが出てきた場合には、

  • チェックすべき項目を洗い出して
  • いつ実施するかを決めて
  • カレンダー・タスク管理などでリマインダーを出るようにする

といった仕組みに落とし込むことが大切です。

Dropbox・Googleドライブでの共有ファイルの確認方法

セキュリティ事故が起きうる可能性のひとつとして、ファイル共有の仕方が適切でない、というものが挙げられます。

ファイル共有のために使用されるサービスとしては、DropboxやGoogleドライブを使っている方も多いのではないでしょうか。

そこで、これら2つのサービスにおいて、ファイル共有の設定をどのように確認するか整理しておきましょう。

Dropbox

今回ご説明する方法は、Dropbox Businessでの確認方法のため、個人向けのDropboxでは使用できないかもしれませんのでご了承ください。

手順は、以下の通りです。

  1. Web版のDropboxにログイン
  2. 「管理コンソール」-「メンバー」-「チームと共同作業をしているユーザー」画面を開く
  3. 共有相手、共有フォルダが適切か確認する

現状では、Dropboxの管理コンソールにいくと、

「チームと共同作業をしているユーザーはX人です」

という表示が出て、その右側にある「管理」ボタンを押すと、2の画面に直接行くことができます。

2の画面では、以下のように、共有しているユーザーの一覧が表示されます。

ユーザーの名の右横にある「共有フォルダX件」という部分をクリックすると、

  • 共有相手の名前
  • 共有しているフォルダ
  • 与えている権限

を確認することが可能です。

さらに、「○件のフォルダ、△件のファイル」の部分をクリックすると、直接そのフォルダに移動することができます。

このようにDropbox Businessを使っているのであれば、管理コンソールで共有状況を確認するのが最も確実な方法です。

Googleドライブ

Googleドライブについても、Google Workspace(旧G Suite)での確認のため、無料のGoogleドライブでは仕様が異なる可能性があります。

Google Workspaceにも、管理コンソールがありますが、共有ファイル数などは確認できるものの、「どのファイルを」「誰と」共有しているか確認するメニューは見当たりませんでした。

他の人から共有してもらったフォルダ・ファイルについては、Googleドライブ画面左横の「共有アイテム」から確認することができますが、「自分が」共有したファイルを一覧で表示させる機能が見当たりません。

自分が共有したファイルを確認する方法として、現時点で使えそうなのは以下のやり方です。

  1. Googleドライブの「ドライブで検索」欄に”from:me”と入力・検索して、表示されたフォルダ・ファイルが適切か確認する
  2. 左横の「マイドライブ」を開いて、共有マークがついているフォルダが適切か確認する

aについては、Goodleドライブの検索機能を調べていると、検索オプションとして

from:
特定のユーザーが共有しているドキュメントや、自分が共有しているドキュメントを検索します。

という記載がありました。

そのため、from:me と入力して検索することで、「自分が共有したファイル・サブフォルダ」を検索することが可能です。

共有されているかどうかは、フォルダの場合はフォルダマークの中に人型のアイコンがあるかどうか、ファイルの場合は、ファイルの右横に人型のアイコンがあるかどうかで確認できます。

次にbですが、aの方法で検索した場合、フォルダ内のフォルダは表示されるのですが、マイドライブの直下に作成したフォルダは表示されませんでした。

そのため、マイドライブ左側の▶マークをクリックして、フォルダを表示させて、人型アイコンの表示があるフォルダが適切か確認する、というステップを追加しています。

なお、ここまでの方法は共有済みのファイルやフォルダを確認する方法ですが、Google Workspaceをお使いであれば、ファイル共有時に共有期限を設定することも可能です。

ファイル アクセスの有効期限を設定する

この方法を使えば、期限が来れば自動的に共有が解除されますので、見直す際の対象ファイルが増えることを防ぐことができます。


ここまでTrelloの公開設定についての話題をきっかけに、セキュリティチェックをどのように行うべきか考えてみました。

今回の記事、こうしたサービスを仕事に使っている方が、セキュリティを見直す際の参考になれば幸いです。

投稿者

加藤 博己
加藤 博己加藤博己税理士事務所 所長
大学卒業後、大手上場企業に入社し約19年間経理業務および経営管理業務を幅広く担当。
31歳のとき英国子会社に出向。その後チェコ・日本国内での勤務を経て、38歳のときスロバキア子会社に取締役として出向。30代のうち、7年間を欧州で勤務。

40歳のときに会社を退職。その後3年で税理士資格を取得。

中小企業の経営者と数多く接する中で、業務効率化の支援だけではなく、経営者を総合的にサポートするコンサルティング能力の必要性を痛感し、「コンサル型税理士」(経営支援責任者)のスキルを習得。

現在はこのスキルを活かして、売上アップ支援から個人的な悩みの相談まで、幅広く経営者のお困りごとの解決に尽力中。