データ保護センター/Slack/【Slackのセキュリティ】Slackで起こりうるリスクと安全性を保つ方法

カテゴリー

この記事では

  • はじめに
  • Slackのデータが脆弱な理由
  • Slackでセキュリティを確保する方法

【Slackのセキュリティ】Slackで起こりうるリスクと安全性を保つ方法

15 Jun 2022
読了時間:11分

1. はじめに

Slackは、ビジネスコミュニケーションのための最も人気のある企業向けソフトウェアの一つで、毎日1200万人以上のアクティブユーザーが利用しています。ビジネスユーザーにとってSlackでのダイレクトメッセージやプライベートチャンネルの会話は、機密性が保たれ、保護されていなければなりません。しかしながら、Slackを重要なビジネスコミュニケーションに使用する際には、重大なセキュリティリスクが存在していることを認識してください。

本記事では、Slackにおけるさまざまなセキュリティリスクと、これらのリスクを軽減するために管理者が取るべき対策について詳しく解説します。

スラック・セキュリティ

2. Slackのデータが脆弱な理由

2.1. 暗号化の問題

Slackは、保存中のメッセージおよび顧客のネットワークとSlackサービス間の通信中のメッセージを保護するために暗号化を実施しています。しかし、実施される暗号化はエンドツーエンドとは分類されておらず、データセキュリティの問題を完全に解決することはできません。このため、企業はデータがどのように、どの程度保護されているのかを監視および管理しなければならず、セキュリティの見落としが発生する可能性があります。
Slackは、サードパーティとの連携に制約が生じるため、デフォルトでエンドツーエンド暗号化を導入する予定がありません。そのため、Slackのユーザーが便利で効率的だと感じる機能が、Slackの最も問題なセキュリティ脆弱性の1つにもなっています。

2.2. サードパーティアプリの連携がもたらす脅威

Slackコネクトは、外部組織と効果的にコラボレーションできるSlack内のプラットフォームです。Slackコネクトを使用することで、すべてのユーザーは、パートナーがアクセスできる共有スペースでディスカッション、ファイルの共有、ビジネス成果の推進を行うことができます。
Slackコネクトは、ユーザーがプロセスを効率化し、組織を超えて効果的にコラボレーションできるようにしますが、サードパーティアプリが関与する場合、常にデータ漏洩のリスクがあります。
多くのSlackユーザーは、サードパーティアプリがSlackアカウントにリンクされた際に有効になる権限については認識をしていません。
サードパーティアプリに付与される権限には、情報の閲覧、情報の投稿、チャンネル、スレッド、またはダイレクトメッセージ内での操作の実行が含まれますが、これによってアプリがSlackユーザーの機密情報にアクセスする可能性があります。また、これらの権限により、サードパーティアプリがSlackデータの編集、変更、削除を行うことも可能にしてしまいます。

2016年、技術コンサルティング会社18FのSlackアカウントが誤って政府の機密情報を暴露し、データ漏洩を引き起こしました。レポートによれば、100以上のGeneral Services Administration(GSA)のGoogleドライブアカウントが少なくとも5か月間、外部からアクセス可能な状態にあり、個人識別情報や契約者の専有情報などの機密コンテンツが漏洩した可能性があります。この情報漏洩は、GSAがSlackもGSAのIT標準も承認していない「OAuth2.0」として知られる認証プロトコルを使用して2つのアプリ間の接続を行ったために発生したとのことです。

Slackのセキュリティ-サードパーティの統合がもたらす脅威

2.3. Slackのオーナーと管理者に与えられた権限

Slackは、ユーザーに対して管理者およびオーナーの役割を割り当てることで、システム内での大きな権限を付与しています。この権限には、データの不正利用の可能性があるだけでなく、重要なグループの意図しない削除など、データセキュリティに対する重大な脅威を引き起こす可能性があります。
例えば、
  • Slackの管理者は、パブリックチャンネルで共有されたすべてのファイルを閲覧することができます。
  • Slackの管理者は、プランに応じてすべてのワークスペースメッセージやファイルをエクスポートすることができます。ビジネスプラスおよびEnterprise Gridプランでは、管理者はすべてのパブリックチャンネルやダイレクトメッセージのコンテンツをエクスポートできるため、Slackユーザーのプライバシーと機密性が露出するリスクがあります。

Slackからエクスポート
  • Slackの管理者は、任意のパブリックチャンネルにゲストを招待したり、プライベートチャンネルにシングルまたはマルチチャンネルゲストを招待することができます。
  • Slackの管理者は、チャンネルを削除することができ、この操作は元に戻すことができません。
Slackの管理者はエンドユーザーにも多くのコントロールと権限を与えることができ、これにより、すべてのエンドユーザーがSlackのデータを作成、管理、変更、または削除できるようになるため、セキュリティリスクが生じます。
例えば、
  • Slackの管理者は、ゲスト以外の社内全員にユーザーグループの作成、変更、無効化を許可することができます。

ユーザーグループの管理
  • Slackの管理者は、誰でもチャンネルを作成、アーカイブ、メンバー削除できるようにすることができます。

チャネル管理
  • Slackの管理者は、ワークスペースのメンバーがプライベートチャネルメッセージとダイレクトメッセージの保持設定を上書きできるようにすることができます。

保持設定の管理

2.4. 悪意のあるコンテンツをSlackに投稿するリスク

Slackには多くのセキュリティ機能が備わっているにもかかわらず、サイバー犯罪者がSlackに侵入し、貴重な機密情報を漏洩させることがあります。さらに、ユーザーが意図的(または意図せず)に悪意のあるコンテンツを投稿することで、データセキュリティが危険にさらされる可能性もあります。

例えば、2016年4月、Ars Technicaは次のように報じました。

「驚くべきことに、多くの開発者が自分たちのSlackログイン情報をGitHubやその他の公開ウェブサイトに投稿しており、この行為により、誰でも彼らの会話を密かに傍受し、チャットサービス上で交換される専有データをダウンロードできる状態になっています。」

また、公開されているアクセス可能なSlackグループに参加することも、データ漏洩のリスクをもたらします。2018年2月、Origin ReportのJosh Fraserは、オープンなSlackコミュニティの1,118人のメンバーが、ハッカーによってAPIキーが操作され、メールアドレス、ユーザー名、本名、プロフィール画像、最終更新時刻、タイムゾーン設定などの個人情報が漏洩したと発表しました。

2.5. エンドユーザーはファイルへの公開リンクを作成可能

Slackのエンドユーザーは、Slack内で共有されたすべてのファイルに対して公開リンクを作成することができます。ファイルを公開することで、インターネット上の誰でもそのファイルに簡単にアクセスしてダウンロードできるようになります。
Slackでは、この設定がデフォルトで「オン」になっているため、ワークスペースのオーナーや管理者がSlackワークスペースの「ツールと設定」ページでこの設定を無効にしない限り、Slackユーザーは公開リンクを作成でき、データセキュリティに脅威をもたらす可能性があります。

Slackで外部リンクを作成

Slackファイルへの公開リンク

3. Slackでセキュリティを確保する方法

Slackはしっかりとしたセキュリティプラットフォームと管理機能を備えていますが、それでもデータセキュリティの脅威にさらされることがあります。以下は、Slackアカウントをデータ漏洩から守るための簡単な方法です。

3.1. 2要素認証の設定

2要素認証 (2FA) は、サインインセキュリティの追加保護機能です。2FAを有効にすると、ユーザーはSlackのパスワードに加えて、モバイルデバイスに送信されたコードを使用してサインインする必要があります。2FAを使用することで、パスワードが漏洩した場合でも、サインインする人がデバイスから認証されない限り、Slackへのアクセスは許可されません。
ワークスペースオーナーは、ワークスペースの全メンバーに対して2FAを必須にすることができます。これにより、全アカウントのセキュリティが強化され、データの安全性が向上します。

3.1.1. Slackで2要素認証を設定する方法

  • ステップ1:ワークスペースにサインインし、「ツールと設定」-「ワークスペースの設定」をクリックし、メニューから「アカウントとプロフィール」をクリックします。

Slackワークスペース

  • ステップ2:2要素認証の横にある「開く」をクリックし、「2要素認証を設定する」をクリックします。

Slackの2FA

  • ステップ3:パスワードを入力し、「テキストメッセージ(SMS)」をクリックして認証コードを受信します。

  • ステップ4:メニューから国を選択します。あなたの国がリストにない場合は、その他を選択してください。

  • ステップ5:携帯電話番号を入力し、「電話番号を追加する」をクリックします。

  • ステップ6:Slackから携帯電話に6桁の認証コードが送信されます。Slackの「SMS認証の追加」画面で6桁のコードを入力します。

  • ステップ7:「コードを確認し、有効化する」をクリックして完了です。

2要素認証を有効にすると、サインインするたびに、認証コードが記載されたテキストメッセージが送信されるようになります。
また、Enterprise Gridプランのオーナーおよび管理者は、メールアドレスとパスワードでサインインするすべてのユーザーに対して2要素認証を必須にすることができます。

必須2FA

3.2. 新規ユーザーの導入時と離職等によるユーザー削除時の設定

Slackのセキュリティを考える際には、データ漏洩や内部からの脅威について常に考慮する必要があります。これには、自主退職する社員や、何らかの理由で解雇される社員も含まれます。
Slackワークスペースに不要なメンバーが存在し、機密性の高いビジネス情報を利用しないようにするには、従業員のオンボーディング(新規ユーザー導入時)とオフボーディング(離職等によるユーザー削除時)に、適切な計画を立てる必要があります。
(メンバーが退職する際のアカウント無効化も含まれます)
ビジネスプラスおよびEnterprise Gridプランのワークスペースオーナーは、SCIM(System for Cross-domain Identity Management)の仕様に基づくプロビジョニングを使用して、IDプロバイダによる無効化を効率化できます。

3.3. ワークスペースへのアクセス制限

Slackで共有されている機密情報に適切な人だけがアクセスできるようにするには、管理者がワークスペースへのアクセスを制限する必要があります。管理者は、ワークスペースに招待するユーザーの管理と確認、メールドメインの確認、アクセスが不要になったメンバーのアカウントの無効化、ゲストアカウントの使用と招待するチャンネルの制限などを行うことで、Slackのデータへのユーザーアクセスを制限することができます。

3.3.1 ワークスペースへの招待に管理者承認によるアクセス制限

デフォルトでは、すべてのSlackメンバーが他のメンバーをワークスペースに招待することができます。ワークスペースオーナーおよび管理者は、設定を変更して、招待のリクエストと承認が必要にすることができます。

  • ステップ1:デスクトップから、左上のワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「ワークスペースの設定」をクリックします。

Slackワークスペースの設定

  • ステップ3:権限タブをクリックします。

  • ステップ4:招待リストの横にある「開く」をクリックします。

  • ステップ5:「管理者による承認が必要です」にチェックを入れ、「保存する」をクリックします。

管理者の承認が必要

3.3.2. アクセスが不要になったメンバーのアカウントを無効化

オーナーおよび管理者は、アクセスが不要になったメンバーのアカウントを無効化することができます。アカウントが無効化されると、ユーザーはすべてのデバイスからサインアウトされ、再度サインインすることはできなくなります。

  • ステップ1:左上のワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「メンバーを管理する」をクリックします。

  • ステップ3:無効化したいメンバーの右にある3つの点のアイコンをクリックします。

  • ステップ4:「アカウントを解除する」を選択します。

注意:Enterprise Gridプランの場合、ユーザーを削除する際は、組織レベルでのみ行うことができます。Enterprise Gridプランでユーザーアカウントを無効化する方法については、こちらをご覧ください。

3.4. セッションの有効期限の設定

プロ、ビジネスプラス、Enterprise Gridプランでは、オーナーおよび管理者がセッション期間を設定することで、メンバーがSlackにサインインしている時間を制限できます。セッション期間を設定すると、メンバーは定期的に再サインインする必要があります。

3.4.1. セッション有効期限の設定方法

a ) プロおよびビジネスプラスプランの場合

  • ステップ1:デスクトップから、左上のワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「ワークスペースの設定」をクリックします。

  • ステップ3:「認証」をクリックします。

  • ステップ4:「セッションの有効期限」の横にある「開く」をクリックします。

  • ステップ5:Slackを閉じる度に、または一定時間が過ぎた後、メンバーをサインアウトするかどうかを選択します。

  • ステップ6:「保存する」をクリックします。

b ) Enterprise Gridプランの場合

  • ステップ1:デスクトップから、左上のワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「オーガナイゼーションの設定」をクリックします。

スラック組織レベル

  • ステップ3:左のサイドバーの「セキュリティ」をクリックし、「セキュリティの設定」を選択します。

セキュリティ設定

  • ステップ4:「セッションの有効期限」の横にある「有効にする」をクリックします。

  • ステップ5:Slackを閉じる度に、または一定時間が過ぎた後、メンバーをサインアウトするかどうかを選択します。

  • ステップ6:「保存する」をクリックします。

セッション時間

3.5. サードパーティアプリの導入前検証

サードパーティアプリケーションとSlackの共有権限ポリシーに関連する脆弱性は、Slack内のデータセキュリティに対して高いリスクをもたらします。そのため、Slackワークスペースにサードパーティアプリケーションを接続する前に、アプリとその権限を慎重にレビューおよび評価することが推奨されています。
サードパーティアプリケーションに関連する脆弱性からSlackデータを保護するために、ワークスペースのオーナーおよび管理者は以下の方法を検討できます。

  • アプリの権限を理解する

Slackに接続される各サードパーティサービスには、アプリがアクセスできる情報とその情報をどのように使用できるかを示す、固有のアクセス許可セットがあります。
デフォルトでは、サードパーティアプリはSlack内で以下の操作を行うことができます。
 a. 情報の閲覧
 b. 情報の投稿
 c. アクションの実行

例えば、SlackワークスペースにWebEx Meetingsアプリをインストールして、会議のスケジュール設定や参加を行う場合、このアプリはチャンネル、カレンダー、メンバープロフィールにアクセスすることで、会議の更新や通知が適切な人に送られるようにすることがあります。
Slackのデータセキュリティを確保するために、ワークスペースオーナーおよび管理者は、サードパーティアプリがSlack内でアクセスできる情報と、その情報を使ってアプリが何を行うか(メッセージの投稿やコンテンツの変更/削除など)を確認する必要があります。
ワークスペースの管理者およびオーナーは、Slackアプリディレクトリでアクセスの種類によってアプリをフィルタリングすることで、アプリがSlack内でどのような情報にアクセスできるかを把握することができます。

  • ステップ1:左上のSlackワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「アプリを管理する」をクリックし、Slack app directoryを開きます。

Slackの管理アプリ

  • ステップ3:インストールされたアプリを選択します。

  • ステップ4:アクセスタイプのドロップダウンメニューでアクセスタイプ別にアプリを表示します。

アプリアクセス

  • ワークスペースのアプリ承認を管理

ワークスペースの所有者は、Slackのデータセキュリティのために特定のアプリを制限または事前承認するアプリ承認を有効にすることができます。

  • ステップ1:左上のSlackワークスペース名をクリックします。

  • ステップ2:「ツールと設定」-「アプリを管理する」をクリックし、Slack app directoryを開きます。

アプリを管理

  • ステップ3:「アプリの管理設定」をクリックします。

アプリ管理設定

  • ステップ4:「アプリの承認が必要」の横にあるトグルをクリックして、設定を有効にします。

アプリ承認

3.6. Slackのエンタープライズ向け暗号化キー管理(EKM)

Slack Enterprise Key Management (EKM) は、Enterprise Gridプランユーザー向けのセキュリティアドオンです。Slack EKMを使用すると、ユーザーはAmazonのKey Management Serviceに保存された自分の鍵を使用してメッセージやファイルを暗号化することができます。Slack EKMは、高度なセキュリティを要する機密性の高い会話やファイルを共有する際に、安全にSlackを使用できるようにします。
Enterprise Gridプランをご利用のお客様は、Slack Enterprise Key Managementの設定方法についてSlackのサポートチームにお問い合わせください。

3.7. Slack for Intuneによるモバイルアプリ管理

Slackは、Microsoft Intuneモバイルアプリケーション管理(MAM-WE)を導入しており、組織が信頼できるアプリにSlackを追加することで、管理されていない個人のモバイルデバイス上でも業務上の機密情報を安全に確保できるようにしています。MAM-WEは、管理者が従業員のデバイス全体を管理することなく、Slackのアクセスとセキュリティを管理するのに役立ちます。

MAM-WEの詳細についてはこちらをご覧ください。

3.8. 常にバックアップソリューションを用意する

Slackが提供するすべてのセキュリティ対策を講じても、Slackのデータは依然としてデータ損失のリスクにさらされています。なぜなら、誤ってデータを削除したり、フィッシングやランサムウェア攻撃を受けたり、不満を抱えた従業員による行為が原因で発生する可能性があるからです。

SysCloudのようなサードパーティのバックアップアプリケーションを使用することで、Slackのデータを簡単にバックアップ、復旧することができるようになります。

SysCloudバックアップを使えば、管理者は必要なときにいつでもSlackのチャンネルの会話やファイルをバックアップ、リストア、エクスポートできます。

3.8.1. SlackのバックアップにSysCloudが選ばれる理由

SlackのデータをSysCloudでバックアップするメリットは以下の通りです。

  • Slackのバックアップを自動化しAPIエラーを自動的に解決します。

  • スレッド、チャンネル、ダイレクトメッセージ、さらにはワークスペース全体をJSON形式でエクスポートが可能です。

  • チャンネル内のスレッド、ダイレクトメッセージ、チャンネルをワンクリックで復旧できます。

  • すべてのワークスペースを横断して、会話、ファイル、チャンネル、ユーザーグループ内のコンテンツを検索可能です。

SysCloudバックアップ(Slack用)の詳細はこちらをご覧ください。

関連コンテンツ

Slackのデータをバックアップする方法

公開日:2022年3月30日

読了時間:5分

削除されたSlackのデータを復旧する方法

公開日:2022年3月29日

読了時間:7分

管理者のためのSlackデータ保持ポリシーガイド

公開日:2022年3月30日

読了時間:10分

この記事では

  • はじめに
  • Slackのデータが脆弱な理由
  • Slackでセキュリティを確保する方法

Slackバックアップを無料でお試しください

30日間無料で試してみる
認定資格
認定資格