”ミス”なのか?・・・
INTERNET Watchの記事に、 設定ミスでTrelloのボードが丸見えに!? ボードの公開範囲を確認しよう!! てのがありました。
タスク管理ツール「Trello」から情報漏えいがおきているといった報告がSNSなどで上っているそうです。
記事によると・・・
これはTrelloのボードの公開範囲設定を「公開」にしてしまったことで起きている現象と思われる。
これに対しアトラシアンは同社ブログにて「Trelloの公開ボードについて」として情報を発信。デフォルトの設定は非公開になっており、また、意図せず公開してしまわないよう、ユーザー意図を確認する仕組みも搭載されているとしつつ、問題が発生しているボードについて、プライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力していると述べている。
だそうです。朝から「Trello」がトレンド入りしてたので、何事かと思ってみたらこういうことだったんですね。
この手のクラウドの設定ミスは今回の他にも多々あります。最近では、SalesForceの設定ミスにより楽天、PayPay、イオン、バンダイ等々の企業のデータが漏洩したことありました。古くはGoogleグループの設定ミスにより、環境省、復興庁、農林水産省、国土交通省、厚生労働省等の役所のデータが漏洩したこともありました。
今回の「Trello」の件と前述のSalesForceやGoogleグループの情報漏えいには、圧倒的な違いがあります。
それはデフォルトで「公開」設定になっているか否かです。
楽天やPayPayが利用していたSalesForceのExperience Cloudというサービスは、企業と顧客を結ぶコミュニテイサイトを構築するサービスであり、コミュニテイサイトにFAQや、ユーザー同士のコミュニテイサイト、カスタマーサポートといった機能を提供可能になります。つまり、サービスの利用は「公開」がデフォです。
また、Googleグループに関しても、当時はデフォで投稿内容がネット全体に公開される仕様でした。
つまり、SalesForceもGoogleグループも公開設定を理解していなかったか、単純な設定ミスによるものであることが疑われます。
しかし、今回の「Trello」に関しては、中の人も利用しているので分かっているつもりですが、デフォは「非公開」もしくは「チーム内公開」(ボードによる)で公開設定に関しては「明示的」に設定しない限りは公開されない仕様です。
「Trello」で公開設定する際には、ご丁寧にも公開されることやGoogleの検索に引っかかることまで明示されています。それを承知で「公開」設定しているわけです。これを「設定ミス」というでしょうか?
もちろんユーザーがその手の説明を全く読まない方がいることや、読んでも理解できない方がいることはこういった仕事をしていますので理解しているつもりです。
ただ、今回の件を見る限り「設定ミス」だけじゃないような気もしますね。深くは言及しませんが、あえて公開設定にした場合もあるのではないかなと・・・
クラウド側は、「公開」「非公開」「一部公開」のような選択肢をユーザーに与えることだけで、実際にそれを利用・設定するのはユーザーです。当然管理するのもユーザーです。SalesForceの件も含めて、あたかもクラウド側の問題による漏洩のように報道される場合があることには違和感を覚えます。
適切な権限設定とユーザーの教育の重要性を再確認した一件でした。