リモートワークや在宅勤務が定着するにあたり、オンラインツールとしてNotionの新規導入や他ツールからの切り替えを検討している個人や企業の方は多いでしょう。
運用管理のルールをしっかり整えて情報漏洩リスクを最小限にとどめれば、Notionはセキュリティ対策が適切にほどこされているツールです。
しかし、使用ツールのセキュリティ上の危険性や情報管理の不足により、重要情報や顧客情報が漏洩するといったセキュリティリスクを抑えなければ、前向きに導入しづらいでしょう。
本記事では、Notionの導入にあたって、ツールの危険性とセキュリティ対策について詳しく解説していきます。記事を読み進めていただき、ぜひ懸念事項の解消につなげましょう。
▼Notionのセキュリティ対策について今すぐ確認したい方はこちら
Notionのセキュリティ対策
- Notionは情報漏洩と第三者による情報改ざんの危険性がある
- 運用管理のルールを整えれば安全に利用できる
- Notionのセキュリティ対策は最新のセキュリティトレンドにも対応しており安心
Notionの危険性
Notionは他人と簡単に情報共有できる操作性が大きなメリットの1つです。一方で、情報共有が容易であるゆえのリスクも持ち合わせます。
ここでは、以下のNotionの危険性について解説します。利用する際に細心の注意をはらうようにしてください。
それぞれ、順番に説明していきます。
情報の外部公開による情報漏洩
Notionの情報共有には、「ワークスペースにユーザーを招待する方法」と「Web公開リンクを発行してそれを他人に共有する方法」があります。
共同編集の必要がなく、チームメンバーに閲覧してほしい情報を共有するだけなら、Web公開リンクを発行して共有することが多いです。
そのため、相手に共有した公開リンクが第三者の手に渡ってしまうと、情報漏洩に繋がりかねません。
信頼できる相手にリンクを共有する、第三者に無断で共有しないように事前に注意喚起するなど、対策を行いましょう。
不正アクセスによる情報漏洩
Notionはクラウド型のサービスで、情報を入力する際にインターネットを介した通信をおこなうため、不正アクセスを受ける可能性があります。
たとえば、サイバー攻撃やパスワードの使い回しが原因で、顧客情報などの重要な情報が流出する危険性があります。
Notionも対策として暗号化などによる監視を行っていますが、「ユーザー自身が強度の高いパスワードを使用する」「二段階認証を行う」といった対策をおこない、安全に利用するようにしましょう。
外部ツール連携による情報漏洩
Notionはあらゆるツールと手軽に連携することができます。しかし、連携先ツールのセキュリティ脆弱性が原因で情報漏洩につながる危険性があります。
Notion側で連携先に同じレベルのセキュリティを義務づける対策がされていますが、ご自身が信頼するツールだけ連携するようにしましょう。
無関係な外部ユーザーをゲストに招待
Notionは外部ユーザーをメールアドレスでゲスト招待することができます。
この際、あやまって無関係なユーザーを招待してしまうと情報漏洩につながります。
ただし、あやまったユーザーを招待してしまっても、ページ右上の「共有」ボタンからすぐに招待をキャンセルすることができます。
ユーザーをページに招待するときは必ずダブルチェックをおこなうように心がけましょう。
情報の改ざん
Notionは共有オプションの中に「編集を許可」というオプションがあります。編集されたくないページに対して編集を許可してしまうと、共有相手に情報を書き換えられてしまう危険性があります。
共有設定をあやまってしまうと、情報の改ざんにつながりますので、ページを共有する前に必ず以下の設定を確認しましょう。
- 権限設定を確認する
- ページ自体をロックする
もしも情報が改ざんされてしまった場合、Notionではページ右上の時計マークからページの更新履歴とアナリティクスを閲覧することができます。
更新履歴とアナリティクスの情報変更履歴を追跡して、特定するようにしましょう。
セキュリティ対策の判断基準
情報セキュリティとは、私たちが普段あつかっている情報を不正アクセスや漏洩から守るために必要な対策をさします。
情報セキュリティには「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」の3要素があり、これらが目的に応じて一定以上の水準で保てている状態が重要になります。
| 名称 | 英名 | 内容 |
|---|---|---|
| 機密性 | Confidentiality | アクセスを許可された者だけが情報にアクセスできる |
| 完全性 | Integrity | 情報や情報の処理方法が正確で完全である |
| 可用性 | Availability | 許可された者が必要な時に情報資産にアクセスできる |
上記の3要素は、3つの頭文字をとってCIAといわれています。
経済産業省は、2013年度に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を発表しており、組織がクラウドサービスを安全に利用するための指針が示されています。
いくつか代表的なものをご紹介します。
二要素認証の導入
アカウントへのアクセスを保護するために、パスワード以外の認証手段を追加します。これにより、不正アクセスのリスクが大幅に減少します。二要素認証は多くのクラウドサービスで使用されている手法です。
データの暗号化
クラウドストレージや通信中のデータを暗号化して、データ漏洩のリスクを低減します。暗号化は、データが不正にアクセスされた場合でも内容を保護します。これにより、企業の機密情報が外部に漏れるリスクが最小限に抑えられます。
アクセス権限の管理
ユーザーごとに必要最低限のアクセス権限を設定し、不要な権限を削除します。適切なアクセス管理は、内部からのデータ漏洩を防ぐために重要です。これにより、セキュリティ事故のリスクを大幅に軽減できます。
Notionのセキュリティ対策
情報漏洩などのセキュリティ観点での危険からNotionの利用をためらう方もいるでしょうが、Notionのセキュリティ対策はかなり強固です。
具体的には、20のセキュリティ対策に取り組んでおり、個人だけでなくチームでの仕事にも安心して使用できる環境がつくられています。まとめると以下の3項目です。
それぞれ説明していきます。
認証取得・準拠
1つ目は、認証の取得・準拠です。
Notionでは以下3つの認証取得し準拠にのっとっています。
| 項目 | 内容 | 認証・準拠時期 |
|---|---|---|
| ISO27001 | 情報セキュリティマネジメントシステム(ISMS)に関する国際規格 | 2022年 |
| SOC2 Type1・Type2、SOC3 | 国公認会計士協会(AICPA)が開発したサイバーセキュリティ・コンプライアンス・フレームワーク | 2021年 |
| GDPR(EU一般データ保護規則) | 2018年に適用開始された欧州経済領域(EEA)の個人データ保護や情報取り扱いについて定めた法令 | 2018年 |
| CCPA(カリフォルニア州消費者プライバシー法) | 2020年1月から適用開始となった米国の包括的なプライバシー保護法 | 2020年 |
| EU/US Privacy Shield | Swiss/US Privacy Shield | 移転される個人データの保護を強化するために各政府間で合意された枠組み | ー |
セキュリティとプライバシーの詳細 | Notionヘルプセンター
Notionのセキュリティ対策 | NorthSand
NotionがISO27001に準拠 | Notionオフィシャルサイト
We're SOC2 Type2 compliant — Here's what that means for you | Notionオフィシャルサイト
NotionのGDPR(一般データ保護規則) | Notionオフィシャルサイト
※2024年6月時点
どれも国際的に特に信用度の高いもので、適切にセキュリティが守られていることがわかります。
サービス全般のセキュリティ対策
次に、Notionではサービス全般でのセキュリティ対策がほどこされています。
具体的には、「データの暗号化」や「セキュリティの監視」、「バックアップ」、「人的ミスへの対策」などの以下の11の内容です。
| 項目 | 内容 |
|---|---|
| AWS | セキュアなクラウド基盤でデータを保護する |
| TLS 1.2 | 高強度の通信暗号化プロトコルを採用する |
| AES256(データの暗号化) | 最高水準のデータ暗号化技術を使用する |
| KMS(キー管理サービス) | 暗号キーの安全な生成と管理を実施する |
| パッケージ監視と脆弱性スキャン | ソフトウェアの脆弱性を定期的にスキャンする |
| WAF | 不正アクセスを防ぐウェブアプリケーションファイアウォールを整備 |
| SIEM | セキュリティイベントを集約し分析するシステム |
| 二段階認証 | パスワードに加えて追加認証を要求する |
| SSO(シングルサインオン) | シングルサインオンで簡易かつ安全なアクセスを可能にする |
| ユーザーのアクセス管理 | ユーザーごとのアクセス権限を厳格に管理する |
| SCIM API | アイデンティティ(ID)管理を自動化するAPIを提供する |
セキュリティとプライバシーの詳細 | Notionヘルプセンター
SAML SSO構成 | Notionヘルプセンター
共有と権限設定 | Notionヘルプセンター
二段階認証 | Notionヘルプセンター
※2024年6月時点
これらによって、Notionのサービス全体のセキュリティ対策をより強固なものにしています。
Notion社内のセキュリティ対策
さらに、Notion社内でも次の6つの独自の取り組みによりセキュリティ向上を計っています。
| 項目 | 内容 |
|---|---|
| Notion社内のセキュリティ対策 | 社内セキュリティポリシーを厳格に適用する |
| ベンダーリスクマネジメント | 提携企業に対するNotion社と同レベルのセキュリティ対策を義務付ける |
| ソフトウェア開発ライフサイクル(SDLC) | 定義されたSDLCを使用してコードが安全に記述されるように徹底する |
| 脅威モデリング | 新しいリリースやアップデートのときにシステムやアプリケーションの脆弱性・脅威を特定・検討する |
| セキュア設計レビュー | 新たなアプリケーションを設計する段階でセキュリティを評価する |
| バグバウンティプログラム | バグを発見したシステムエンジニアに報奨金を支払う |
| 障害情報の開示 | セキュリティインシデントを公表し透明性を保つ |
Notionでは社内研修や内部セキュリティ監査、アプリ設計段階でのセキュリティ評価などの対策が徹底されています。
セキュリティ対策のための仕組みが整えられており、問題の早期発見や情報の透明化のためにあらゆる工夫がされているのも特徴でしょう。
セキュリティリスクを回避する方法
Notionでセキュリティリスクを回避する方法として、「運用による対策」と「エンタープライズプランへのアップグレード」があります。
以下で順番に解説します。
運用による対策
Notionで情報漏洩や不正アクセスを防ぐための重要な対策は2つあります。
それぞれ紹介していきます。
権限設定
1つ目は適切な権限設定です。以下に具体的な方法を紹介します。
| 方法 | 内容 |
|---|---|
| ユーザーごとのアクセス権限管理 | ユーザーごとに異なるアクセス権限を設定し、必要な情報だけにアクセスを限定する |
| 公開設定 | 公開範囲を「ワークスペース内の全員」、「ワークスペース内でリンクを知っている人」、「招待されたユーザーのみ」から適切に選択し、機密情報はリンクを知っている人だけに公開する |
| ゲストユーザー管理 | 外部ユーザーをゲストとして招待する時に最低限の権限のみを付与し、定期的に見直す |
| プロジェクトごとの権限設定 | プロジェクトごとに閲覧権限や編集権限を設定し、不要な情報へのアクセスを制限する |
権限設定については定期的に見直しを行い、適切な権限設定でNotionを安全に利用しましょう。
二段階認証の導入
2つ目の運用による対策として、二段階認証を導入することが重要です。
二段階認証は、アカウントにアクセスする際にパスワードだけでなく、追加の認証手段(例:スマートフォンの認証アプリやSMSコード)を要求します。これにより、不正アクセスのリスクを大幅に低減し、アカウントの安全性を高めることができます。
設定方法は以下の通りです。
1.設定を選択する
サイドバーから「設定」を選択します。
2.パスワードをオンにする
Notionアカウントのパスワードを入力します。
3.「二段階認証」をオンにする
「マイアカウント」→「二段階認証」をオンにします。
4.認証方法を選択する
認証アプリを使用した認証方法とSMSを使用した認証方法から、好きな方を選択します。
エンタープライズプランへのアップグレードによる対策
Notionのセキュリティ対策を強化するもう1つの方法として、エンタープライズプランへのアップグレードがあります。
このプランでは、より高度なセキュリティ機能や管理機能を利用できるため、大規模な企業や組織に特に適しています。1ヶ月の無料トライアルもありますので、気になる方は一度試してみてください。
エンタープライズプランの主な機能は以下の通りです。
| 機能 | 内容 |
|---|---|
| 分析機能 | コンテンツの閲覧者・編集者の詳細な分析が可能 |
| データセキュリティ設定 | データのセキュリティ設定を詳細に管理できる |
| 管理者コンテンツ検索 | 管理者が全てのコンテンツを検索できる |
| チームスペース内の高度なセキュリティ制御 | チームスペース内の特定のユーザーごとに高度な権限設定が可能 |
| ページ履歴の復元 | 過去のページ履歴を無制限に閲覧し、復元することができる |
| ユーザープロビジョニング | ユーザーの作成・管理を自動化できまる |
| 監査ログ | 全ての操作をログとして記録し、トラブルシューティングに利用できる |
| SSO(シングルサインオン) | 一組のログイン情報を使用して複数のアプリケーションにアクセスできる ※ビジネスプランにも含まれます |
エンタープライズプランのより詳細な内容については、Notionオフィシャルサイトからご確認ください。
Notionでは実施できないセキュリティ対策
ここでは、Notionの機能だけでは実施できないセキュリティ対策を説明します。それは以下の3つです。
順番に説明します。
利用端末の制限
NotionはログインIDとパスワードなどのアカウント情報または招待リンクなどを使用することでワークスペースへのログインを可能としています。
そのため、利用端末ごとにアクセス制限を設けることはできません。
IPアドレス制限
Notionでは、IPアドレスによってアクセス制限をかける機能は提供されていません。
これにより、特定のIPアドレスからのアクセスを制限することができないため、セキュリティリスクが増加する可能性があります。
ファイルアップロードやダウンロードの制限
Notionではファイル別にアップロードやダウンロードの制限をすることができません。
そのため、ページへのアクセス権限がある人は自由にファイルをダウンロードすることができますし、編集権限がある人はアップロードも自由に可能です。これにより、機密情報の流出や有害なファイルのアップロードの危険性があります。
Notion以外のツール連携によるセキュリティ対策
先ほどの3つのセキュリティ対策は、Notionのみではカバーすることができません。しかし、以下の方法で別のツールも連携することで、Notionで実施できないセキュリティ対策の実現は可能です。
IdP経由のSAML認証
Notionは、IdP(Identity Provider)を使用したSAML認証に対応しており、設定後は一度の認証で複数のクラウドサービスにログインできるSSO(シングルサインオン)が可能となります。
SAML認証を使用するメリットは以下の通りです。
- エンドユーザーが複数のパスワードを覚える必要がなくなり、可用性が向上する。
- エンタープライズプランではユーザープロビジョニングが可能となり、IT管理者が効率的にアカウント管理を行える。
また、MFA(多要素認証)や企業のパスワードポリシーをIdP側で設定することで、セキュリティをさらに強化できます。
企業に適したIdPを選び、セキュリティを強化しつつエンドユーザーのログインとアカウント管理を効率化しましょう。
ユーザープロビジョニング
IdP(Identify Provider)と連携することで、厳格なユーザー管理が可能になります。
ユーザープロビジョニング後、新入社員のページアクセス権限リクエストや付与の手間を省き、自動的にチームスペースへユーザーを振り分けます。
連携可能なIdPは以下の通りです。
- Azure Active Directory
- Okta
- HENNGE One
CASB(クラウドアクセスセキュリティブローカー)によるアクセス管理や制御
適切な権限設定をしても、Notion内の情報のダウンロードや外部へのアップロードを完全に防ぐのは困難です。内部の人が不正や誤操作をおこなう可能性もあります。
その場合、CASB(クラウドアクセスセキュリティブローカー)を導入してアクセス管理や制御をおこなう方法があります。
CASB製品を提供する企業には以下があります。
- Netskope
- Zscaler
- Skyhigh Security
これらの製品とNotionを併用すると、不正アクセスや利用状況の把握・分析が可能になり、より安全にNotionを利用できます。
ただし、データの保存先はAWS S3に固定されており、これを変更することはできません。
最新のセキュリティのトレンド
ここでは、独立行政法人情報処理推進機構が発表する最新のセキュリティトレンドを確認していきます。
これまでお伝えしてきた内容をもとに比較してみても、Notionは対策できていることが分かります。
以下は、直近の個人や組織における情報セキュリティ10大脅威の一覧です。
個人の情報セキュリティ10大脅威
Notionは、フィッシングによる個人情報の詐取や不正ログインといった個人向けの脅威に対しては、二段階認証やSAML認証を導入することでセキュリティを強化しています。
| 項目 | 初選出年 | 10大脅威での取り扱い ※2016年以降 |
|---|---|---|
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 5年連続8回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 9年連続9回目 |
| クレジットカード情報の不正利用 | 2020年 | 5年連続5回目 |
| 偽警告によるインターネット詐欺 | 2020年 | 5年連続5回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 9年連続9回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 6年連続6回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 9年連続9回目 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 6年連続6回目 |
| ワンクリック請求等の不当請求による金銭被害 | 2016年 | 2年連続4回目 |
組織の情報セキュリティ10大脅威
内部不正や脆弱性対策情報の悪用といった組織向けの脅威に対しては、厳格なユーザーアクセス管理や定義されたソフトウェア開発ライフサイクル(SDLC)の徹底によってリスクを低減しています。
さらに、エンタープライズプランでは、SSO(シングルサインオン)や詳細なデータセキュリティ設定、監査ログの提供など、より高度なセキュリティ機能を利用できるため、大規模な企業や組織にも適した対策が提供されています。項目 初選出年 10大脅威での取り扱い
※2016年以降ランサムウェアによる被害 2016年 9年連続9回目 サプライチェーンの弱点を悪用した攻撃 2019年 6年連続6回目 内部不正による情報漏えい等の被害 2016年 9年連続9回目 標的型攻撃による機密情報の窃取 2016年 9年連続9回目 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 2022年 3年連続3回目 不注意による情報漏えい等の被害 2016年 6年連続7回目 脆弱性対策情報の公開に伴う悪用増加 2016年 4年連続7回目 ビジネスメール詐欺による金銭被害 2018年 7年連続7回目 テレワーク等のニューノーマルな働き方を狙った攻撃 2021年 4年連続4回目 犯罪のビジネス化(アンダーグラウンドサービス) 2017年 2年連続4回目
以上のように、Notionは機能面で最新のセキュリティトレンドに対して十分に対応できているといえるでしょう。
Notionの危険性とセキュリティ対策のまとめ
本記事では、Notionの危険性とセキュリティ対策について詳しく説明しました。
Notionは高度なセキュリティ対策により安全に利用することができますが、人的要因によるセキュリティリスクも確かに存在します。
運用管理のルールをしっかり整備して情報漏洩リスクを最小限にとどめれば、安全にNotionを利用できるでしょう。
リモートワークや在宅勤務に便利なツールの一つであるため、ぜひ前向きに導入を検討してみてください。
▼Notionのセキュリティ対策について改めて確認する
Notionのセキュリティ対策
よくある質問
ここでは、読者の皆さんからよくいただく質問について回答していきます。
- Q1.Notionの欠点は何ですか?
- Q2.Notionで禁止されていることはありますか?
- Q3.Notionは安全ですか?
- Q4.Notionのデータはどの国に保存されますか?
- Q5.Notionで複製を防止するにはどうすれば良いですか?
Q1.Notionの欠点は何ですか?
Notionの欠点としては、以下の点が挙げられます。
- インターネット接続が必要なため、オフラインでは使用が制限される
- 複数のユーザーが同時に編集する際に競合が発生することがある
- 共有の容易である反面、人的要因によるセキュリティリスクが存在する
Q2.Notionで禁止されていることはありますか?
Notionでは、有害なコンテンツのアップロードや中傷・脅迫、他者の個人情報を無断でアップロードすることなどが禁止されています。詳細についてはNotionヘルプセンターをご確認ください。
Q3.Notionは安全ですか?
Notionは高度なセキュリティ対策を実施しており、安全に利用することができます。
データの暗号化、二段階認証、SAML SSOなどの機能を提供しており、企業レベルのセキュリティ要件にも対応しています。
Q4.Notionのデータはどの国に保存されますか?
Notionのデータは主にアメリカ合衆国のデータセンターに保存されています。データの保存場所に関する詳細な情報は、Notionの公式ドキュメントやプライバシーポリシーを参照してください。
Q5.Notionで複製を防止するにはどうすれば良いですか?
Notionで複製を防止するためには、適切な権限設定をおこなうことが重要です。
具体的には、機密情報へのアクセス権限を厳格に制限し、必要最低限のユーザーにのみ編集権限を付与することで、情報の流出を防止できます。