前の記事
Notionの危険性・セキュリティリスクとは?体制/機能やユーザー側の対策方法を解説
- 「Notionの危険性/セキュリティリスクはある?」
- 「Notionのセキュリティ体制や対策方法はなに?」
Notionの導入を検討されている方で、上記のような疑問をお持ちの方がいるのではないでしょうか?Notion の危険性や対策方法としては下記が挙げられます。
危険性/セキュリティリスク | 対策 |
・情報漏洩 ・データ/情報の改ざん ・ワークスペース間でのページの複製や流出 ・エクスポートシステムによる情報流出 ・外部ユーザーのゲスト招待 | ・ログイン時の二段階認証の設定 ・複雑なパスワードの設定 ・定期的なバックアップの作成 ・不要なデータの削除 ・ソフトウェアのセキュリティアップデート ・公共・フリー Wi-Fi を使用しない ・定期的にセキュリティ意識を向上させる |
本記事では、上記のような Notion の危険性や対策方法を詳しく解説します。ユーザー側ができる対策方法を紹介するとともに、Notion 上のセキュリティ体制も解説していますので、Notion の危険性が気になる方は参考にしてください。
そもそもNotionとは?
Notionは、アメリカ・サンフランシスコを拠点とするスタートアップ企業である Notion Labs が開発した多機能ドキュメントツールです。このツールは、プロジェクト管理、スケジュール管理、社内wikiなど、さまざまなドキュメントを目的に応じて集約できる「オールインワンツール」として知られています。
さらに、Notionはチームでの共同作業が可能な高機能性と、遊び心のあるデザインを兼ね備えており、オンライン作業が多く、情報を一元管理したいビジネスパーソンにとって使いやすいツールの一つです。Notionの機能は大きく3つに分けられます。
- ナレッジ
- タスク
- データベース
また、2021年10月には日本語版がリリースされ、カスタマーサポートやテンプレート、ガイドなど、利用できる機能の幅が広がりました。
関連記事: 【2024年最新版】Notionとは?使い方・活用事例を解説
IT ツール導入の際に考慮するべきセキュリティ面でのポイントとは?
Notionの導入に限らず、ITツールを導入する際に考慮するべきセキュリティ面でのポイントを押さえておきましょう。
まず前提として、 機密性や完全性、可用性の3つが保たれていること が情報セキュリティを考える際に重要です。さらに細かく見ると、下記のような要素も考慮するべきです。
- データが暗号化/保護されているか
- ユーザーアクセス制御や認証が高度か
- データのバックアップ機能と復元機能の有無
- セキュリティアップデートとパッチ適用が実施されているか
- ネットワークの監視体制と脅威への検知機能の有無
- サービス障害対策の有無
企業によって重要するべき要素は異なりますが、ITツールを導入する際には上記のような要素を重要視してください。
Notion の5つの危険性・セキュリティリスクとは?
本章より、Notion の危険性/セキュリティリスクを5つ紹介します。
- 情報漏洩
- データ/情報の改ざん
- ワークスペース間でのページの複製や流出
- 外部ユーザーのゲスト招待
順に紹介します。
1. 情報漏洩(顧客情報や社外秘情報の流出など)
Notionの危険性/セキュリティリスクとして、顧客情報や社外秘情報の漏洩が挙げられます。情報漏洩の原因としては下記の3つが考えられます。
- 不正アクセスによる漏洩
- 外部ツール連携による漏洩
- エクスポートシステムによる漏洩
順に紹介します。
不正アクセスによる漏洩
Notionはクラウドベースのサービスであり、情報を入力する際にはインターネットを介して通信が行われるため、不正アクセスの可能性があります。
外部の脅威や悪意のあるプログラムによる不正アクセスは、情報漏洩のリスクを伴います。例えば、以下のような状況が考えられます。
- サイバー攻撃によるサーバーの乗っ取りで、顧客情報が流出する可能性
- パスワードの使い回しによるフィッシング詐欺で、個人情報や機密情報が漏洩する可能性
上記への対策として、NotionはTLS1.2・AES256の暗号化技術とWAFによる監視を実施しています。
さらに、後述しますがユーザーが「強力なパスワード設定」や「二段階認証」を行うことで、より安全に利用できます。
外部ツール連携による漏洩
Notionに外部ツールを連携する際には、情報notion セキュリティ漏洩のリスクを考慮する必要があります。
Notionは外部ツールとの連携機能を持っていますが、外部ツール側にセキュリティリスクがある場合、Notion自体の対策が万全でも情報漏洩の可能性が残ります。
具体的には、信頼性の低いツールと連携した結果、そのツールがサイバー攻撃を受けて情報漏洩が発生するようなケースです。
このようなリスクに対処するため、Notionはベンダーリスクマネジメントを実施し、提携する企業にもNotionと同等のセキュリティ基準を求めています。
さらに、ユーザーは「信頼できる外部ツールのみと連携する」「定期的に連携ツールを見直す」といった対策を講じることで、より安全に利用できます。
エクスポートシステムによる漏洩
Notion上のエクスポート機能を利用することで、情報が流出してしまう可能性があります。Notionで作成したページを「PDF」や「CSV」形式でデバイスにダウンロードできるため、悪用される可能性があります。
具体的には以下のような状況です。
- 顧客情報が流出して競合企業に渡り、顧客を失う可能性
- 営業戦略をUSBに保存して外出中に紛失する可能性
ユーザーの対策として、「エンタープライズプラン(有料)」を利用することで、メンバーによるエクスポート機能を無効化し、安全性を高められます。
2. データ/情報の改ざん
Notion上のページが改ざんされるリスクがあります。
「ページ設定(ロック)」や「権限(編集)」を誤ると、機密情報が改ざんされる可能性があり、損害を被ることがあります。
例えば、以下のような状況です。
- 商品情報が改ざんされ、誤った情報が顧客に伝わり、商品回収に至る。
- 経理情報が改ざんされ、利益計算と納税額が異なり、脱税につながる。
Notionでは、ページの「更新履歴」や「アナリティクス(閲覧数)」を確認することで、過去の履歴やアクセス者を追跡し、情報変更の監視ができます。
さらに、ユーザーは「権限設定」で編集を制限し、重要なページの「通知設定」で変更があった際に通知を受け取ることで、より安全に利用できます。
3. ワークスペース間でのページの複製や流出
ワークスペース間でのページの複製や流出もNotionの危険性です。
例えば、他のワークスペースにお客様がいる場合や、自分がゲストユーザーとして他の企業や組織のワークスペースに招待されている場合、内部情報が外部に漏れたり、外部情報が内部に流出したりするリスクがあります。
このような状況を防ぐためには、最小限のアクセス権限を付与することが重要です。社内メンバーだけでなく、ゲストユーザーの権限も適切に管理する必要があります。
4. 外部ユーザーのゲスト招待
外部ユーザーを誤って招待してしまうリスクがあります。
Notionでは「メンバー」や「ゲスト」としてユーザーを招待する機能がありますが、「メールアドレスの入力ミス」や「Slackからの誤った追加」により、関係のないユーザーがページにアクセスできる状態になる場合があります。
例えば、以下のような事態です。
- メールアドレスを間違えて入力し、関係のないユーザーを招待してしまう
- 「Slackから連絡先を追加」で、誤ったユーザーを選んでしまう
Notionでは、招待済みのゲストを「共有」から確認でき、誤って招待したユーザーを3クリックで削除し、ページへのアクセスを防ぐことが可能です。
さらに、ユーザーは「セキュリティ意識を高める」ことや、「有料のエンタープライズプランを利用して招待機能を無効化する」ことで、より安全に利用できます。
参考記事: https://www.notion.so/ja/help/security-and-privacy
Notionが取得しているセキュリティ認証規格とは?
Notionは、次のセキュリティ認証を取得しています。
- ISO27001 : 2013
- SOC2 Type 1 レポート
- SOC2 Type 2 レポート
- EU-U.S. および Swiss-U.S. プライバシーシールド
これらの認証は、GDPR(欧州の個人データ保護法)に準拠しており、高いレベルのデータ保護とプライバシー管理を行っていることを示しています。また、データ漏洩などのセキュリティインシデントのリスクを最小限に抑えるための体制が整備されていることも示しています。
Notionのインフラは主にAWS(Amazon Web Services)上に構築されており、オンプレミスでの使用はできません。AWSはセキュリティに関するレポートや認証を保持しており、高いセキュリティ基準を満たしています。さらに、AWSのデータセンターは、物理的なセキュリティ対策によって保護されています。このことから、Notionのインフラは非常に安全であることが分かります。
参考記事: https://www.notion.so/ja/help/security-and-privacy
Notionのセキュリティ体制とは?
Notionのセキュリティ体制を、データとアプリケーションに分けて紹介します。
データのセキュリティ | ・アクセス管理 ・バックアップ機能 ・保存データの暗号化 ・転送データの暗号化 ・SSO(シングルサインオン)機能の提供 |
アプリケーションのセキュリティ | ・WAF ・脆弱性のパッケージ監視 ・暗号化キーの管理 ・SDLC ・2チームによるコード分析 |
それぞれ紹介します。
データにおけるセキュリティ5選
Notionのデータにおけるセキュリティを5つ紹介します。
- アクセス管理
- バックアップ機能
- 保存データの暗号化
- 転送データの暗号化
- SSO(シングルサインオン)機能の提供
それぞれ見ていきましょう。
1. アクセス管理
Notionは、システム全体を通じてログを記録し、アクセスを監視しています。
具体的に記録されるログは下記です。
- アプリケーションへのアクセス履歴
- 管理者による変更内容
- システムの変更
また、通常の時間外にデータが開かれた場合にはアラートが発せられ、ログに記録されるため、外部からの不正アクセスも即座に検知できます。
さらに、ログ管理では重要な情報のみを選んで記録することも可能です。
2. バックアップ機能
Notionは、大手クラウドサービスであるAWSの複数のデータベースを利用してデータを保管しているため、バックアップ機能が確立されています。
AWSは高い耐久性を持つインフラを提供しており、99.9%の耐久性を誇るため、セキュリティ面でも安心できます。
データのバックアップの頻度は、少なくとも1日に1回自動でされており、バックアップ中も暗号化と監視が行われています。
3. 保存データの暗号化
Notionで保存されているデータは、AES256で暗号化されています。
AESはアメリカ国立標準技術研究所が定めた暗号化アルゴリズムで、政府の標準として採用されています。AESには128、192、256のバージョンがあり、数字が大きいほど暗号化の強度が高いです。そのため、AES256は最も強力な暗号化レベルになります。
Notionに保存されているデータは、ネットワーク上だけでなく、クラウドストレージやデータベースでもAES256で暗号化されています。
4. 転送データの暗号化
Notion上のデータは保存中だけでなく、転送中もTLS 1.2またはTLS 1.3で暗号化されています。
TLSは、コンピュータ間の通信を保護する暗号化技術で、SSLの進化版です。TLS 1.2以降では、改ざん検出に用いるハッシュ関数SHA-2が追加されており、より強力な暗号化でデータを安全に転送しています。
5. SSO(シングルサインオン)機能の提供
Notionは、ビジネスプランとエンタープライズプランのユーザー向けに、シングルサインオン(SSO)機能を提供しています。
Notionのシングルサインオン(SSO)サービスは、SAML(Security Assertion Markup Language)2.0を基に構築されています。
SAML 2.0はIDマネージャーがNotionのようなサービスプロバイダーに認証情報を安全に伝達できるようにし、IDプロバイダー(IdP)とワークスペースを接続して、より簡単かつ安全にログインできるようにする標準規格です。
上記によりユーザーは単一の認証ソースを通じてアプリにアクセスでき、IT管理者はチームのアクセスを適切に管理し、情報の安全性を高めることが可能です。
参考記事: https://www.notion.so/ja/help/security-and-privacy
アプリケーションにおけるセキュリティ5選
アプリケーションにおけるセキュリティを5つ紹介します。
- WAF
- 脆弱性のパッケージ監視
- 暗号化キーの管理
- SDLC
- 2チームによるコード分析
それぞれ紹介します。
WAF
Notionでは、WAF(Web Application Firewall)によるセキュリティ対策をしています。
WAFとは、アプリケーションの脆弱性を狙うサイバー攻撃を防ぐためのセキュリティ対策を指します。
もし、アプリケーションに脆弱性が見つかった場合には、被害を出さないように守られています。
脆弱性のパッケージ監視
Notionでは、すべての関連機器と製品の脆弱性をスキャンし、パッケージの監視を行っています。
内部サービスだけでなく、外部サービスにも定期的にパッチを適用して問題を検出しており、脆弱性が見つかった場合は、重大な問題から優先的に対処しています。
暗号化キーの管理
Notionはキー管理サービスを利用しており、暗号化キーの管理を安全に行っています。これらのキーは特定の役割に割り当てられ、必要以上に権限を与えない最小権限の原則に基づいています。
さらに、キーは毎年自動で更新され、使用状況はログで監視されているため、セキュリティがさらに強化されています。
SDLC
Notionでは、高品質なソフトウェアを開発するために、ソフトウェア開発ライフサイクル(SDLC)を採用し、段階的に安全なコードの記述を行っています。
SDLCとは、より優れたシステムを開発するためのプロセスを指します。コードが完成した後も、ベンダー企業と協力してセキュリティスキャンを実施し、サービス提供後にはバグバウンティプログラムを利用してバグの早期発見に努めています。
このように、ソフトウェア開発ライフサイクルに従って新しいサービスを展開することで、より高品質でセキュリティに優れたサービスを提供することが可能です。
2チームによるコード分析
Notionでは、セキュリティチームと開発チームが協力してコードの分析を行っています。
新しいリリースやアップデートの際には、コードを精査して脆弱性を特定し、ソフトウェアのアーキテクチャを分析してセキュリティを強化しています。重要な機能を提供する際には、コードが完成した後にコード監査とレビューを実施し、セキュリティスキャンを行うことで、高いセキュリティレベルのサービスを提供しています。
Notion の異変を確認する方法とは
最後に Notion の異変を確認する方法を紹介します。
「Notionステータス」による確認
Notionステータス 上で、異変を確認する方法が2つあります。
- システム稼働状況と事故記録
- メール配信の登録
それぞれ見ていきましょう。
システム稼働状況と事故記録
Notionステータス では、システム稼働状況と事故記録を確認できます。過去90日間のサービス停止時間と発生してしまった問題の確認が可能です。
具体的には下記のような画面で確認できます。
引用: Notionステータス
上記のオレンジ色になっている箇所が、サービス停止時間が発生した日となり、カーソルを合わせることで停止した時間と原因を確認できます。
また、大半を占めている緑色の部分はNotionが稼働した日を指しています。しかし、サービスが停止されていないにも関わらず異変が生じている場合がある(黄緑色が該当)ので注意してください。
メール配信の登録
Notionステータス より、異変を通知するメール配信の登録が可能です。英語版で「Subscribe To Updates」、日本語版で「更新情報を受け取る」から自身のメールアドレスを登録することで、問題の発生から更新、解決したかどうかの情報までメールで受信できます。
メールアドレスの登録方法は下記の通りです。(※日本語版)
- 「更新情報を受け取る」を選択
引用: Notionステータス
- 受信したいメールアドレスを入力して、「メールで購読する」をクリック
引用: Notionステータス
上記の手順で、自身のメールアドレスを登録し、Notionの異変を確認できるようにしてください。
まとめ
本記事では、Notionの危険性を紹介しました。Notionの危険性としては、下記が挙げられます。
- 情報漏洩
- データ/情報の改ざん
- ワークスペース間でのページの複製や流出
- エクスポートシステムによる情報流出
- 外部ユーザーのゲスト招待
Notionに限らず、ITツールを導入する際はセキュリティリスクを把握した上で対策をとって、導入しましょう。
しかし、Notionの導入には知識が必要であることから、なかなか導入できていない場合もあるかと思います。もし、Notionの導入を検討されている場合は、ぜひ株式会社TEMPにご相談ください。
弊社では、Notion認定資格を保有しているコンサルタントが、Notionの新規導入支援から伴走支援、構築代行を行っています。安心安全にNotionを導入したい方はぜひ下記よりご相談ください。