こんにちは、Ricksoftプリセールス担当の古守です。

現在、タスク管理ツール「Trello」で個人や企業の情報が意図せず公開されていたことが話題となっています。
Yahooなどの大手ポータルサイトでも報じられているので、ニュースをご覧になられて不安を感じた方も多いと思います。

TrelloはSNSツールとして開発された経緯があり、操作性が良く手軽に情報を共有できるところが魅力です。
また、無償で利用できるFreeプランが用意されていて、簡単に利用を開始できることから、ここ数年で一気にシェアを広げてきました。

今回は、Trelloで意図しない情報公開が発生してしまった原因と対策について考えてみました。

まず、Trelloのデフォルトの公開範囲は、「ワークスペース」または「非公開」が設定されます。
いずれの場合もインターネット上の不特定多数から閲覧されることはありません。

ユーザがボードの公開範囲を変更する際には、ボードの公開による影響について説明が表示されます。

ボードが公開されると、画面上部にボードが公開されている旨の警告が表示され、ユーザに確認を促します。

このように、ボードの公開時と公開後にそれぞれ注意喚起があるので、ユーザがボード公開／非公開の仕様を正しく理解して少し注意するだけで意図しないボードの公開による情報の流出は防げます。

この「少し注意する」が欠けてしまったのは何故でしょうか？
画面上に表示される説明を注意深く読むか読まないかについては、利用者の性格的によると思いますが、企業で利用しているツールなので、簡単にインターネットに情報が公開されることは無いという先入観があったかもしれせん。
「公開」という表示を見て、関係者に情報が公開（共有）できると思い込んでしまった人もいると思います。

いずれにしても、ツールの仕様に対する理解不足が原因と考えます。
Trello Freeプランを利用している場合は、ボードの公開範囲の見直しとTrelloのボード公開における仕様の周知を徹底することをお奨めします。

意図しない情報漏えいのリスクを抑えるためには、ツールの機能や運用ルールの教育が必要です。
しかし、企業で多くのユーザがTrelloを利用している場合、すべてのユーザが仕様を正しく理解して運用するのは現実的に難しいものです。
このため、IT部門などの管理者が運用ルールを定めて、必要な操作制限を設定した上で利用することをお奨めしています。

Trelloでは企業向けにBusiness、Enterpriseの2つのプランが用意されています。
これらのプランを適用することで、管理者側でボードの公開範囲をコントロールし、セキュリティを強化できます。
具体的なイメージは下記の動画にてご確認ください。

本ブログでは、複数のチームを一元管理できるEnterpriseプランの管理機能について紹介します。

Trelloの利用者を把握する

Trelloはアトラシアン社が提供するAtlassian Cloudと呼ばれるサービスの一つです。
Atlassain Cloudの組織管理機能を使って、企業のドメインメール（例：xxxx@ricksoft.jp など、＠以下のドメイン名を使って判定）を使っているすべてのTrelloユーザを洗い出すことができます。
また、アカウントの詳細画面からユーザが利用しているTrelloのプランを確認できます。

Trello Freeプランで利用しているチームを把握する

Trello Enterpriseでは、複数のチームとチーム内のボードを管理するために、管理者向けのメニュー（Enterprise Admin Dashboard）が用意されています。
Enterprise Admin Dashboardでは、企業のドメインメールを使っているユーザが管理者となっているFreeプラン利用のチームを洗い出し、必要応じてEnterprise管理下に置くことができます。

参考：エンタープライズワークスペースのアップグレード

ボードの公開範囲を制限する

Enterpriseで管理されているチームに対して、新たにボードを公開することを禁止し、既に公開中のボードがあれば、該当ボードの件数と内容が確認できるようになっています。

Enterpriseプランを導入することにより、業務利用しているボードの公開範囲を管理者が適切にコントロールできます。
今回はTrelloのボード公開の問題にフォーカスしましたが、Enterpriseプランには、ユーザ管理やセキュリティの強化に関する機能が多数盛り込まれています。

まとめ

今回、様々なメディアで大々的に取り上げられたことにより、Trelloの利用に関する危機感が急激に高まっていますが、ボードのインターネット公開の問題は突然降って湧いたものではなく以前から指摘されていました。また、このようなリテラシーの不足による情報漏えいは、Trelloに限ったものではありません。今年の1月頃にソースコード管理サービス「Github」にて、業務向けのコードがGithubに公開されていることが判明して話題となりましたが、問題が顕在化していないだけでツールの仕様の理解不足による情報漏えいは様々なところで起こり得ます。

今回、不安を煽るような内容になってしまいましたが、道具は正しく使うことにより利益をもたらしてくれます。

Trelloは直感的に操作でき、関係者間で気軽に情報を共有できます。例えば、リモートワークなどで各メンバーが離れて作業をしている環境でも、Trello上でミュニュケーションをとりながら業務を円滑に進めることができます。情報漏えいなどのリスクばかりに目を向けて利用を禁止するのは合理的とは言えません。

ユーザが間違った使い方をしないよう、コンプライアンスやツールの運用に関する教育を強化し、ツール側で制約できる部分はきちんと設定して管理することが重要だと考えます。

リックソフトでは、Trelloの導入や有償版へのアップグレード、企業内で利用する場合のノウハウや管理機能についてなど、企業様向けの個別相談会を開催しております。
各回、1社限定で実施しておりますので、皆様のITシステムに関するお悩みや課題をご相談ください。