みなさんこんにちは〜
アドベントカレンダー14日目になります。中盤にさしかかってますね。
連続でブログを投稿していると自分にブログ筋がついてくるのを感じます。目指そうムキムキ。
セキュリティ設定、最初の一歩
これまでアドベントカレンダー内で私はNotionは便利だよーとか、組織の中心になれるよーとか書いてきました。
今回はNotionのセキュリティ設定についてご紹介していきますが、セキュリティって終わりがないんですよね。なので今回はとっかかりとしてNotionの中で直接セキュリティに関わる設定にのみ触れていきます。
特に機能として影響を受けるのはページの外部共有ですね。
弊社でも特定のお客様に向けて、必要に応じて議事録やページの共有などを行なっています。
しかし様々な情報が集まるNotionのページを自由にWeb公開できると、コンプライアンスに引っかかったり、悪意を持った工作の温床になってしまいます。
そうならないように管理者が設定項目を把握し、未然に防いだりログを管理できるようになりましょう。
一般的なSaaSにおけるセキュリティの指針
Notion独自の機能について話す前に、一般的に考慮すべきセキュリティの指針について3つ整理しました。
しかしセキュリティはこれだけやれば良いというものではありませんし、ここで語り尽くせるものではないのでそこはご容赦ください。また、責任共有モデルにおける提供企業が管理するインフラ部分は今回対象外にしています。
- ID管理と認証
誰がそのサービスを使えるのか、どのように認証されるのかを管理する項目です。多くの企業がIdPを導入して管理されていますね。単なるアカウントとパスワード管理だけではなく、入社や退職時のアカウント作成・削除を自動化したり、多要素認証(MFA)の強制なども含まれます。 - データの保護と流出対策
いわゆるDLPと呼ばれている部分です。 意図的なデータ持ち出しや操作ミスによる情報流出を防ぐ設定がこれに当たります。 バランスが難しく安全性を高くする代わりに利便性が失われやすい領域になります。 - 可視化とモニタリング
設定では防ぎきれない事故や内部不正などを、アクセスログや操作履歴を元に誰がいつ何をしたのか記録・追跡できるようにします。未然に防ぐのではなく、検知と追跡を担います。
Notionでできること
それでは先ほど挙げた以下3つの項目ごとに、Notionでできる設定をまとめていきます。
- ID管理と認証設定
- データ保護と流出
- 可視化とモニタリング
どれも他SaaSでも採用率が高く、昨今網羅していることが常識とされているものばかりです。
横串確認としてNotion以外にも使えそうなら使ってみてください。
ID管理と認証設定
| 項目 | 内容・目的 | 利用可能なプラン | 備考 |
| ドメイン検証 | 自社ドメインを所有していることを証明し、勝手なワークスペース作成を防ぐことができます | Enterprise | |
| SSO | IdP経由のログインを可能にします。さらにパスワードログインを無効化することで、入口を最小化します | Business/Enterprise | Enterpriseのみ外部ユーザーへのSSOを強制することも可能 |
| SCIM連携 | メインIdPに合わせ、自動的に連携したNotionアカウントを作成・削除を行う 退職者の削除漏れを防ぐ | Business/Enterprise | Entra ID、Okta、GWS、OneLoginなどに幅広く対応 |
データの保護と流出対策
| 項目 | 内容・目的 | 利用可能なプラン | 備考 |
| Web公開の無効化 | ページのWeb公開ボタンを一括で無効化することができます。誤った情報流出を根本的にさせないようにします | Enterprise | すでに公開されているサイトも設定をオンにすると停止される |
| エクスポート制限 | PDFやCSVでのエクスポートを禁止することで、一括でデータをファイルにすることを防ぎます | Enterprise | |
| チームスペース管理 | 機密情報を記載したページにアクセスできる人を制限します | Business/Enterprise | |
| ゲスト招待の制限 | 社員が社外の人(ゲスト)を招待する時に管理者の承認が必要になる | Enterprise |
可視化とモニタリング
| 項目 | 内容・目的 | 利用可能なプラン | 備考 |
| 監査ログの確認 | セキュリティに関連する監査ログが網羅的に保存されます。特に以下なんかが気になりますね。 ・外部共有 ・ゲスト管理 ・データ操作 ・権限変更 ・インテグレーションの追加 ・セキュリティ設定 | Enterprise | その他のログは以下参照 https://www.notion.com/ja/help/audit-log?assetsVersion=23.13.20251212.2231 |
| コンテンツ検索 | 退職者のプライベートページに残された業務データの救出や、内部調査のために管理者がページへアクセスする権限機能 | Enterprise |
見ての通り詳細なセキュリティ設定をするなら、「Enterprise」プランを圧倒的におすすめします。
Businessプランではできない設定が多くあり、特に以下の制限があるため、企業情報を扱う中核としては厳しいです。
- ページのWeb公開をシステム的に止められない
- 外部ユーザーのSSOを強制できない
- 監査ログが見れない
何か起きてからの対応という点では、監査ログが見れないのが致命的・・・。
まとめ
いかがでしたでしょうか。再三言いますが本格的に運用するなら「Enterprise」プランにしましょう。
その後、外部公開の無効化、SSOの強制など基本的な項目を経て、監査ログの活用をやっていきましょう。SIEMがすでにあるなら連携を早めにやっちゃってもいいですね。
運用についてお困りごとがあればクラウドネイティブにご相談ください!
それでは今回はこの辺で。
