事故から学ぶ

「Trello」で機密情報が漏洩していてもアカウントを削除するのは絶対NG!

事故概要

業種 インターネットサービス
発生時期 2021/3/3-2021/4/5
漏えい人数 未発表
事故概要

Trelloを安心して便利にお使いいただくために
「Trello」ボードの公開範囲について
「Trello」ボードの公開範囲を改めてチェックしておきましょう。執筆時現在、「Trello」ボードの公開範囲は4つ(無償利用の場合は3つ)用意されており、初期設定は“チーム”になっています。“チーム”は“ワークスペース”へ名称変更中とのことで、なかには“ワークスペース”と表記されているケースもあるかもしれません。
ボードの公開範囲を「Trello」“公開”にすると、ボードがGoogleなどの検索エンジンによってクロールされます。あえて不特定多数とボードを共有したいというのでもなければ公開設定する必要はないでしょう。
「Trello」には、自分がメンバーとして所属しているボードのうち、インターネットに公開されている(Google検索に引っかかる状態)になっているボードを一覧するURLがあります。
https://trello.com/search?q=visibility%3Apublic
「Trello」にログインした状態で、このリンクをクリックしてみてください。情報がダダ洩れになっているボードが一発でわかります!
意図せず“公開”状態になっている「Trello」ボードが一発でわかるURL
意図しない公開ボードを見つけた場合
もし、自分が参加している「Trello」ボードが意図せず公開状態になっている場合は、まず落ち着いて、自分がボードの管理者かどうかを確認してください、自分がボードの管理者であれば、落ち着いて公開範囲を設定しなおしましょう。ここで 一番やってはいけないことは、慌ててアカウントを削除してしまうこと です。公開ボードが削除できなくなり、どうしようもなくなる可能性があります(Atlassianに連絡して、なんとかしてもらうことになるでしょうが、対応に時間がかかるかもしれません)。
管理者でない場合は、管理者に連絡をしましょう。ボード内のメンバー一覧のうち、青色の山型アイコンがついているのが管理者です。
青色の山型アイコンがついているのが管理者
なお、自分の「Trello」ボードが意図せず検索エンジンにインデックスされてしまい、検索結果に表示されるようになった場合は、Googleに連絡する必要があります。Atlassianにお願いして代行してもらうこともできるようです。
Googleへの削除申請:https://search.google.com/search-console/remove-outdated-content
Atlassianの問い合わせフォーム:https://www.atlassian.com/ja/company/contact/japan
「Trello」は無償ライセンスでも十分使えますが、もし企業で利用しているならば“Business Class”や“Enterprise”といった法人向けライセンスを検討してみましょう。法人向けライセンスではより柔軟なユーザー管理が可能で、公開範囲を不用意に緩めなくても外部ユーザーと連携できるかもしれません。お金は多少かかりますが、機密情報を流出させて信用を失うことを考えれば安いものです。ボードの使い勝手を高める「Power-Up」や、定型操作を自動化する「Butler」といった便利な機能もたくさん使えるようになります!

引用元 やじうまの杜 - 窓の杜

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-9(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

Webサービスからの情報流出 サービスの設定確認をWeb上のタスク管理ツール「Trello」からの情報流出が問題になっている。
この問題はTrello自体の不具合ではなく、利用者が意図せず公開設定をしたため発生している。
株式会社SPECは、採用面接対象の学生の個人情報を誤って公開設定にし、流出させたことを発表した。Trelloに限らず、クラウドサービスを利用する際にはアクセス制御の設定は欠かせない。
サービスによっては、企業で集中管理する機能を持ち、外部公開を禁止したり、社内のみで利用できるよう設定できる場合もある。
今一度利用しているサービスのセキュリティ設定や利用方法の周知・教育状況を確認したい。

具体例:

プリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。