こんにちは。チェンジデザイン代表の高田淳志です。
「もっと社内のIT推進力を強化しよう!」「ITを活用して作業効率があげよう!」とお考えの皆様に向けて、解決・対応策の手掛かりになればと投稿するものです。お役に立てば何よりです。


【より効率的にチャットツールを使用するためのポイントを解説】
「効率よく利用できている感がないなぁ・・・」「利用が活性化していないなぁ・・・」など、現状からの改善を目指されている方、お気軽にご相談ください。
第1回:チャットツールで本当に業務効率上がってるのかなぁ?
第2回:社内情報共有にチャットツールのメリットを出せるかは運用次第!
第3回:チャットツールのセキュリティは心配しなくてよい?
第4回:チャットツールは多様な働き方の推進(働き方改革)につながるか?

もしかしたら、子供の頃からチャットツールを普通に使ってきたデジタルネイティブ世代より、長らく電子メール利用を活用してきた私のような世代の方がチャットツールでのセキュリティ事故を起こしやすいのでは・・・という気もしつつ今回の記事を書き始めました(苦笑

今回は、情報セキュリティ面にも精通しているITエンジニアの方向けのセキュリティ話ではなく、チャットツールの導入を任された非ITエンジニアの方や、利用者としてチャットツールを利用される方向けに、導入時検討や利用時注意ポイントのいくつかを書いてみます。

チャットツール導入時に検討することは?

導入検討時に確認しておきたいこと

ビジネス用途にサービス提供されているチャットツールのサービスページを見ても、セキュリティには相当の対応をしていることが分かります。シェアや知名度の高いチャットツールの説明ページを読んでみましたが、サービス提供者ごとに力点の置き方に違いは感じられるものの、提供機能や運用体制について「セキュリティ面での懸念」は感じられませんでした。

利用者や利用場面をイメージしながら、自組織で運用するにあたって不足・不十分な機能や対応はないかな?という観点で、次のような項目を確認してみると良いでしょう。

  • 利用者のアクセス制限:どのような粒度・レベルまで設定できるか?
  • 利用者認証や端末制限:二段階認証やアクセス元拠点や端末制限は可能か?
  • データ管理:利用データセンターやバックアップ内容は安心できるか?
  • 運用体制:ISO27001等の標準規格に沿った運用がされているか?
  • 監査ログ(アクセスログ):どのようなデータを、どのように利用できるか?

ランニングコストとのバランスで考えることが大切

例えば、利用状況の記録である監査ログ(アクセスログ)の取得を行うためには、同じサービスの中でも、割高な「上位プランのみ可能」であったり、「別途オプション料金が必要」であったり、ランニングコストに影響する場合もありますから、提供プランごとに比較・確認してみることが必要です。

何か新しい仕組みを導入する際は、「あらゆることが網羅されている方が」と希望・要望が山盛りになってしまいがちです。上例で採り上げた「監査ログ」についても、「やがて必要にな時がくるかもしれないから、機能が無いよりは有った方が・・・」という発想は理解できますが、そもそも普段から、従業員PCの利用ログを監査したりしているでしょうか?

もし、そのような監査業務が通常になっていないのであれば、使わないかもしれない機能に高いランニングコストを払うのではなく、チャットツールの利用者に定期的にセキュリティ教育を実施したり、月次でチェックリストを使った利用状況点検したりすることにより、利用者の意識向上を図っていくのもセキュリティレベル維持の有効な手段です。

チャットツール利用時に気をつけることは?

次に、電子メールを介したトラブルとして「あるある」な内容について、「チャットツールを使った場合はどうなるの?」を考えてみようと思います。

宛先間違いによる情報漏洩

電子メール送信時の不注意で宛先を間違って送ってしまったこと、皆さんも一度はありませんか?
利用している人はご存じかと思いますが、Gmailには「送信取り消し機能」があって、一定時間(設定で可変)以内は送信を取り消すことができます。Gmailに機能実装されるぐらいですから、国を問わず多く発生しているのかもしれませんね。

さて、チャットツールではどうでしょうか?

チャットツールでも「相手を間違ってしまう」「誤ったグループ宛てに投稿してしまう」ということは起きますが、電子メールと違って後から削除することができますし、少なくとも何人もの関係者をToやCcに設定するような煩雑な手続きが不要なので、電子メールよりは情報漏洩リスクは減りそうです。

また、利用者自身で自分用のアイコンを登録できるチャットツールがほとんどですから、利用者登録後に必ず自分オリジナルの画像(自分の写真でも、ペットの写真でも)を登録しておく運用にすると、ミスの発生リスクをますます減らすことができますよ。文字情報より画像情報の方が識別しやすいですから、たかがアイコン、されどアイコンです。

結論

電子メールのように、1通の送信に対して何件もの宛先を選択・設定するという操作が不要なことが多いので、チャットツールで宛先間違えは「起こりにくい」と言えます。
また、万が一、間違った相手やグループに情報共有(漏洩)してしまった場合でも、後から削除することができるので、電子メールよりは対応しやすいでしょう。

設定漏れなどによる安全ではない通信の利用

電子メールの本文や添付ファイルを暗号化して送付することができるのですが、メールソフトにそのための設定を手動で行わなければならなかったり、そのような機能が無かった少し昔のセキュリティ知識のままで知らずにいたりで、暗号化されているかどうかは個人の設定に依存します。(設定のマニュアル化・義務化など運用でカバーしている組織も少なくはないと思われます。)

チャットツールでは、SSL/TLSと呼ばれるデータ暗号化の仕組みが採用されていることがほとんど(おそらくは全部)なため、その点については心配不要と言えそうです。

結論

通信経路の暗号化はチャットツールのサービス提供側で実現しているので、利用者個々の設定は不要なので、特段の運用検討は不要と言えます。

送信した情報の寿命(削除しなければ有効)には注意!

電子メールとは異なるチャットツールの性質上、注意が必要なことがあります。

電子メールは、基本的には送信者と受信者のみが情報をキープしますが、チャットツールでは、SNSツールなどと同様、削除しない限りは投稿したグループ(チャンネル)にずっと残る(いつまでも閲覧可能な状態)ことが前提になります。

オープンなグループ(例えば、全社員が参加しているグループ等)宛てのものはそれでも問題はありませんが、部署ごとや案件ごとなど特定の利用者だけで構成しているグループ宛ての情報については、時間軸を加えての情報管理が必要な場合が発生します。

ある時点で特定グループに参加している利用者全員が共有して良かった情報であっても、1年後にそのグループに追加参加した利用者がすべて見て良いとは限りません。
例えば、「総務グループ」チャットは総務部の社員数名で利用していたが、ある時点で派遣スタッフが総務部業務に加わったので「総務グループ」へ参加するようになった・・・場合に、「社外秘」情報が残っていたら問題ですよね。

このような場合に取り得る選択肢は、チャットツールごとに異なる部分にはなるかと思いますが、いずれにしても「情報が残り続けている」こと前提の運用とするか、「定期的に不要な情報を削除する」運用を推奨するか等、あらかじめ検討しておくことは必要です。

注意

チャットツールでは、後から参加した利用者にも情報が閲覧可能になることをイメージした運用が必要。グループメンバー追加の度にグループ削除・作り直しを行うと情報共有が阻害されてしまうので、導入したチャットツールが実現している機能と組み合わせて適切な運用を考えておく必要があります。

関連情報や出典