それ、Notion で

View Original

Notion導入時に安全に使うためにやらなければいけないセキュリティ設定

はじめに

近年、情報管理ツールとしてNotionの人気が高まっています。しかし、企業利用にあたっては機密情報を多く扱うためセキュリティ対策が扱われるため、情報漏洩や不正アクセスを防ぐためのセキュリティ対策が不可欠です。Notion、特にエンタープライズプランではセキュリティニーズに応えるため日々アップデートが行われております。この記事では、Notionを安全に企業で使用するためのセキュリティ設定に焦点を当て、Notionのセキュリティの考え方と各設定方法をご紹介いたします。

Notionを企業で安全に使用する3つのチェックポイント

Notionを企業で安全に使用するための設定ポイントが3つあります。

  • 許可された人のみログインできるようにする認証・認可設定

  • 誤って外部の人へ情報を共有させないための公開設定

ここでは3つの設定についてそれぞれ解説いたします。

許可された人のみログインできるようにする認証・認可設定

Notionに限らずSaaSを採用する場合には避けては通れない設定です。

正しく設定することで、許可されたユーザ本人が許可されたページのみ共有されるようになります。

誤って外部の人へ情報を共有させないための公開設定

Notionは各ページを外部にWebページとして公開したり、ゲストユーザを招いて情報を共有することができます。

ただし、基本的に企業内の情報共有として設定する場合には外部からの接続を一切遮断し想定外の情報流出を防ぐべきです。

不穏な操作を検知する監視の設定

Notionを運用する上でルールを取りまとめることが重要ですが、そのルールが守られているか監視する必要があります。

Notionエンタープライズの監査ログ機能を活用することでユーザーが正しくNotionを利用できているのか確認できるようになります。

各種設定方法

ここでは用途に応じた以下の3つのケースに分けて設定方法を紹介します

  • 必須設定

  • より堅牢にするための設定

  • 外部と情報共有するための設定

必須の設定

Notionを企業導入する際に必ず必要なの設定を紹介します。

  • ドメイン検証

ドメイン管理設定を利用できるようになり、より高度なセキュリティ設定が行えます。

設定方法

  1. 設定メニューから「認証とプロビジョン」を選択

  2. 「+ドメインの追加」

  3. 自社ドメインを入力

  4. TXTレコードを追加

  5. Notionの設定画面から検証

より詳しい設定方法はこちら:ドメイン管理

  • SAML SSO設定

SPによるパスワードの一元管理を実現し、パスワード漏洩リスクを低減させることができます。

設定方法(事前にドメイン検証する必要があります)

  1. 設定メニューから「認証とプロビジョン」を選択

  2. 「+ドメインの追加」

  3. 自社ドメインを入力

  4. TXTレコードを追加

  5. Notionの設定画面から検証

  6. 設定メニューから「認証とプロビジョン」の「ログイン方法」から「SAML SSO」を選択

より詳しい設定方法はこちら:SAML SSO構成

  • セッション時間の制限

セッションの有効期限を設定しセッションハイジャック攻撃への対策が行えます。

設定方法(事前にドメイン検証する必要があります)

  1. 設定メニューから「認証とプロビジョン」を選択

  2. 「セッション時間」のタブから設定するセッション時間を選択する

より詳しい設定方法はこちら:管理対象ユーザー

  • メンバーによるコネクト・インテグレーションの追加の制限

不用意にコネクト・インテグレーション(APIコネクト)を増やすと情報漏洩リスクの増加に繋がります。管理者による承認制にし、メンバによるコネクトの乱立を防ぎ情報漏洩を防止できます。

コネクト制限の設定方法

  1. 設定メニューから「コネクト」を選択

  2. 「メンバーによるコネクトの追加を制限する」のタブから「承認リストからのみ」を選択する

インテグレーション(API連携)の設定方法

  • インテグレーションはワークスペースオーナーのみ追加できる機能です。

    追加する際の運用ルールを制定し不必要なのインテグレーションの追加を防ぎます。

より詳しい設定方法はこちら:APIコネクトの追加・管理

  • エクスポートを無効にする

ワークスペース全体でエクスポートを禁止することで、情報漏洩を防ぎます。

設定方法

  1. 設定メニューから「コネクト」を選択

  2. 「メンバーによるコネクトの追加を制限する」のタブから「承認リストからのみ」を選択する

より詳しい設定方法はこちら:ワークスペースの設定

より堅牢な管理のための設定

Notionのワークスペースをより堅牢にするために必要な設定を紹介します。

  • SIEMパートナーインテグレーション

監査ログをリアルタイムに連携することでユーザーの不正な挙動を検知することができます。ゼロトラストを運用するには必須の設定です。

設定方法

  1. 設定メニューから「コネクト」セクションを選択し、「ワークスペース」をクリックします。

  2. 設軸したいSEIMアプリケーションを選択します。

  3. 必要情報を入力し、「接続」をクリックします。

より詳しい設定方法はこちら:SIEMパートナーインテグレーション

外部との接続を認可性にする場合の設定

情報漏洩は防ぎたいものの、外部の方とのコラボレーションを実現したいケースもございます。

そのような場合に必要となる以下の2つの設定を紹介します。

  • 特定のページのみWeb公開

  • ゲストユーザー追加の承認制

  • 特定のページのみWeb公開

Web公開の可否はワークスペース、チームスペース単位で設定可能です。公開可能なスペースを絞り、編集できるユーザーを限定することで不用意なWeb公開を防ぐことが可能です。

ワークスペースの公開制限設定

  1. 設定メニューから「セキュリティ」を選択

  2. 「ページのWeb公開を無効にする」を有効化する

チームスペースの公開設定

  1. 対象のチームスペースの「•••」を選択し「チームスペース設定」を開く

  2. 「セキュリティ」タブの「ページのWeb公開を無効にする」を有効化する

より詳しい設定方法はこちら:公開ページとウェブ上での公開

  • ゲストユーザー追加の承認制

ゲストユーザーの追加を承認制にすることで、メンバーによるゲストユーザーの乱立を防ぎ、不用意に外部のユーザーが社内のワークスペースにアクセスするのを防ぎます。

設定方法

  1. 設定メニューから「セキュリティ」を選択

  2. 「メンバーによるページへのゲストの招待を無効にする」をオンにする

  3. 既存ゲストの維持 or 削除を選び、「ゲスト正体を無効化」をクリックする

    ※「既存のゲストを削除する」を選択するとワークスペース内に既に招待されているゲストが全て消えてしまいます。ご注意ください

  4. 「メンバーによるゲスト追加のリクエストを許可する」をオンにする

より詳しい設定方法はこちら:メンバー・管理者・ゲスト・グループの追加

セキュリティ設定を行わない場合のリスク

小規模での利用においては、外部への情報公開をメンバーに委任し多くの権限を与えることで、Notionのより活発な利用、浸透を促すことも可能です。しかし、セキュアな情報を多くストックされるNotionはワークスペースオーナーが責任を持って堅牢な環境を築くことが求められます。

まとめ

Notionは、適切なセキュリティ設定を施すことで、企業の大切な情報を守る強力なツールになります。適切な設定を通じて、企業の情報セキュリティを強化しより社内でのNotion利用が活性化されれば幸いです。