トピックス 2021.09.10 Slack使用時にセキュリティ対策で気を付けるべきポイントとは？

多くのメンバーと一つのプラットフォーム内でやりとりができ、動画での通話や様々なデータもクラウドで管理できる便利なツールSlack。

しかし、たくさんの人がコミュニケーションをとり、便利になればなるほど、常にセキュリティのリスクに目を向けなければなりません。

この記事では、Slackを使う上で気を付けるポイントを説明していきます。

コロナ禍において、政府からの緊急事態宣言に「7割の出社削減」が盛り込まれたことなどが引き金となり、昨今の日本国内においてリモートワークの導入は急激に推進されてきました。

リモートワークをするうえで、コミュニケーションツールは欠かせないものになってきていて、中でもSlackは動画通話やデータの共有、チャットなど、コミュニケーションに欠かせない機能を多数備え、シェアを伸ばしています。

ただし便利な反面、セキュリティに留意しなければならないポイントも複数あります。

ここでは、Slackでのセキュリティ対策におけるポイントをみていきましょう。

Slackはクラウド上にシステムが存在するため、インターネット環境さえあればどこからでも接続できることが魅力ですが、その反面、暗号化などによる通信の盗聴などの対策は欠かせません。

Slackの公式サイトによると、「Slackでは、基本的なセキュリティコントロールの一環として、保存データと転送中のデータをデフォルトで暗号化している」とありますので、万が一盗聴されても平文での情報漏洩は回避可能です。

さらに、Slackの大規模組織向けである「Enterprise Grid」プランでは、「Slack Enterprise Key Management（EKM）」と呼ばれる暗号化機能が用意されています。

EKMは、Amazon Web Services（AWS）の暗号鍵管理サービス「AWS Key Management Service」と連携して対象を絞った独自鍵での暗号化を実施できます。

セキュリティインシデントが発生した場合でも、Slack全体を停止するのではなく、時間帯やチャンネル、メッセージなど対象を絞ってアクセスを停止できるため、事業継続の観点からも非常に有用であるといえるでしょう。

また、EKMはワークフロービルダーとの連携が可能で、ワークフロー内のステップ、フォーム、メッセージなどのデータについても、EKMで暗号化できることが魅力です。

昨今では、リモートワークによる社外からのアクセス増加によって「ゼロトラスト」という考え方が注目を浴びています。

ゼロトラストとは、すべての通信を信頼せず、厳格な認証をするべきという考え方で、多要素認証の導入を推奨しています。

Slackの無料プランでも二要素認証が使えるため、積極的に導入していきましょう。

また、ゼロトラストの考え方からは離れますが、有料の「ビジネスプラス」プランと「Enterprise Grid」プランでは、シングルサインオン（SSO）を利用できます。

Slackは複数のWebサービスを連携できるのですが、一度の認証でSlackとその他Webサービスにアクセスできるようになるため、セキュリティの強化とともに業務の効率化、ID管理の簡素化も期待できるのが強みです。

総務省内閣サイバーセキュリティセンターが発行する「インターネットの安全・安心ハンドブックVer 4.10」によると、「ログイン用パスワードは『英大文字・小文字＋数字＋記号の混在で10桁』を推奨」という記載があります。

短い文字数や類推されやすい文字列など脆弱なパスワードは使用せず、推奨の内容に従った強固なパスワードを設定しましょう。

Slackでは、メッセージやファイルの保存期間をカスタマイズできるため、自社のセキュリティポリシーに合わせて保存期間を決めましょう。

また、有料の「ビジネスプラス」プランと「Enterprise Grid」プランでは、データの保存地域も指定できますので、海外の法規制などが自社のセキュリティポリシーに合致しない場合は、保存地域として日本を選択しましょう。

その他にも、個人情報はSlack上に投稿しないなどのルール作りも重要です。

Slackを利用する際に、アカウントをどう使うかについてもルールを決めておきましょう。

誰に管理者権限を付与するか、アカウントの棚卸しはどの程度の周期で実施するか、新規アカウントはどのタイミングで誰が発行するか、などが検討項目です。

私物のPCやスマホから会社のSlackにアクセスし、仕事などの対応をしてしまうと、私物のPCやスマホにデータが残ったままになることが多いため、情報漏洩に繋がる恐れがあります。

会社のSlackには、社用PC・社用携帯からのみアクセスするように定めるとよいでしょう。

また「Enterprise Grid」プランでは、EKMによるPCアクセス制御ができ、さらにエンタープライズモビリティー管理（EMM）でモバイルデバイスからのデータアクセス制御もできるため、ぜひ活用しましょう。

メールアドレスの宛先誤りによるメール誤送信は後を絶ちません。中には機密情報を誤って送付してしまい、損害賠償を請求されるなどの事態に発展する例もあります。

このような宛先誤りを防ぐために、可能な限りメールではなく、Slackの「SlackコネクトDM」を使いましょう。

SlackコネクトDMでは、最大20の組織で1つのSlackチャンネルを共有できます。

有料プランへの加入は必要ですが、他の複数の組織ともセキュアなやりとりができ、メールのように関係者以外の宛先を入力することがなくなるため、宛先誤りのリスクを減らせます。

またメールとは異なり、Slackはフィッシングメールやスパムメールなど迷惑メールを避けるような対応は必要ありませんので、業務の効率化にも効果があります。

先ほど紹介したEKMやEMMを使用することで、Slackに対するアクセス権を操作できます。

また業務上、特定の人物から別の特定の人物への連絡を遮断したい場合があります。

例えば、ある組織の株式のトレーダーから別組織のアナリストへの連絡は、利益相反を回避し、法令を遵守するために禁止したいという場合です。

そんな時には、Slack上で「情報バリア」の機能を使用することで、特定の2者間のメッセージや音声通話、ビデオ通話を禁止できます。この機能で利益相反の防止や機密情報保護など、法令遵守やセキュリティの向上に役立てられます。

また、Slackコネクトでは「認証済みオーガナイゼーション機能」が導入されており、Slackによって本人確認が完了しているかが判別できます。

チャンネルへの招待を送信・受信した相手が本人確認済みか判別できるため、直接顔を合わせないWeb上のやり取りでも信頼できる相手とアクセス権限のやりとりをしているかを簡単に判断できます。

Slackは通話やチャット、データの共有など、Web上でのコミュニケーションに必要な要素を兼ね備えた便利なツールです。

しかしながら便利な反面、暗号化した通信の利用や厳格な認証の導入、強固なパスワードの使用など、セキュリティ面で気を付けなければならないポイントは多岐に渡ります。

Slackを使う時のポイントを知って、安全性の高いコミュニケーションを実施していきましょう。

【参考サイト】

Slack のセキュリティ（Slack Technologies, Inc.）
https://slack.com/intl/ja-jp/trust/security

セキュリティプラクティス（Slack Technologies, Inc.）
https://slack.com/intl/ja-jp/security-practices

Slackのセキュリティ（Slack Technologies, Inc.）
https://a.slack-edge.com/0f178/marketing/downloads/security/Security_White_Paper_2019.JP.pdf

インターネットの安全・安心ハンドブック（内閣サイバーセキュリティセンター）
https://www.nisc.go.jp/security-site/handbook/index.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock