• 会員限定
  • 2013/07/26 掲載

グーグルグループの情報漏えい事故はなぜ起きたのか?情報共有サービスのリスクと対策

連載:ソーシャルメディアの企業活用リスクマネジメント

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
今月、中央官庁の内部情報などが誰でも閲覧できる状態になっていたことがニュースで報じられた。読売新聞によれば、確認できただけで4省庁の職員が業務に関するメールを公開設定のまま利用しており、このうち環境省の幹部らは国際条約の交渉過程を流出させていたとのことである。重要事項が外部に漏れることは、企業にとってもあってはならないことだろう。しかし、今回の中央官庁の情報漏えいともいえる事故は、FacebookやDropboxなどを情報共有ツールとして利用している従業員も増えている中、各企業にとっても決して対岸の火事ではない。今回は、グーグルグループでの情報漏えい事故がなぜ起きたのか?情報共有サービスやSNSで社内情報を共有する時の注意点について解説する。

「グーグルグループ」の落とし穴

 「グーグルグループ」とは、インターネット上でメールを共有できるグーグルの無料サービスである。

 登録者の間で簡単にメールを同時配信したり、カレンダーやドキュメントなどを共有できるため、グループウェアや社内SNSを導入していない企業でも簡単に社内で情報共有できるメリットがある。

 利便性の高いサービスだが、今回のように一歩間違えれば簡単に情報を漏えいしてしまう危険性も持ち合わせている。

 一般的にグループウェアや社内SNSは、社内間での情報共有が目的であるため、管理者側でIDやパスワードの発行を制御することができ、情報自体もグループ内でしか見れないような仕組みになっている。

 しかし、「グーグルグループ」の場合、デフォルトの設定が一般に公開されるようになっている。つまり、一般的なグループウェアとは違い、初めからよりオープンな仕組みになっているのである。

 つまり、グループウェアの代用とするためには、適切な設定を行い、必要なメンバーのみアクセス可能な状態にしなければならなかった。

今回の事故は、この設定変更の必要性に気付かず、本来非公開の情報を扱いながらデフォルト設定のまま利用してしまったために起こった。おそらく一般的なグループウェアと「グーグルグループ」を混同してしまったためだと考えられる。 本件の当事者としては、まさかそんな落とし穴があったとは思いもしなかったのではないだろうか。

わかりづらい設定項目

 上記の通り、利用者の「グーグルグループ」に対する認識不足が、結果としてこのような事態につながった事は否めない。しかし、要因として考えられるのはそれだけではない。

 実は「グーグルグループ」の設定項目はお世辞にもわかり易いとは言えず、設定変更には多くの選択肢や制限がある。

 下の図はその設定画面であるが、左のサイドバーに設定や権限に関する項目が並んでいるのがわかるだろう。管理者はこれらをひとつずつ適切なメンバーに適切な権限を与えれるように設定しなければならない。

画像
グーグルグループの設定画面。権限設定が複雑な印象を受ける

 一通り見ても設定項目が多くあり、初心者には一体どの項目で何を制限できるのか簡単には判別がつかないだろう。

 このように機能が多様化され便利である反面、設定の難易度も上がっている。情報共有の制限や設定がわかりづらく、複雑化していることもこのような事態を招いた要因と言える。利用者はこれらのことに十分注意して管理する必要がある。

企業の情報が丸見え状態に

連載一覧
 それでは実際にどのような情報が「グーグルグループ」でやり取りされているのだろうか?

 このニュースが報じられたのが7月10日ではあるが、情報が丸見えになっていた各省庁はこの時点で対策を講じていたため、現時点(7月13日)では大規模な情報漏えい事故とはなっていない。

 しかし、筆者が「グーグルグループ」の情報を検索して確認したところ、企業にとって見られてはいけないと思われる情報がたくさん出てきた。

 内容は企業の売上情報や利益など収支に関する内容や営業担当者の顧客対応に関しての報告書、社員の自宅の住所など個人情報が含まれるものもあり、それらが誰からも見れる状態となっていた。

 まさに社内情報のメールでのやりとりが簡単に覗き見できる状態である。これらは設定を変えない限り、これからも永遠に他者から見れる状態にあり、いつ、それらが情報漏えい事故につながってもおかしくない。

 これは「グーグルグループ」だけに限らず、DropboxなどのクラウドツールやFacebookなどのSNSでも起こりうる。

 実際に、筆者自身も重要ではない情報については、クラウドツールやSNSのグループでやり取りすることがあるため、取り扱う情報や方法については十分に注意している。

 万が一、悪意ある者が重要な情報を盗み見すれば、脅迫や詐欺などにも悪用される可能性も考えられる。企業はこれらのリスクに自社が晒されていないか、すぐに確認しなければならない。

【次ページ】このような事態を防ぐための対策

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます