エイチームのGoogleドライブで設定ミスが発生
2023年12月21日にエイチーム(Ateam)がGoogleドライブの設定ミスにより、約94万人分の個人情報が外部に公開されていた問題についての詳細を公開しました。
このミスにより、顧客、取引先、退職者などの情報が含まれる1369件のファイルがリンクを知っている人なら誰でも閲覧できる状態になっていました。
公開されていた期間は2017年3月から2023年11月22日までで、現在は問題が解消されています。
個人情報漏えいの可能性に関するご報告とお詫び | 株式会社エイチーム(Ateam)
設定ミスが発生した原因
設定ミスが発生した原因について、エイチームは以下のように説明しています。
当社グループで利用しているクラウドサービス「Googleドライブ」を利用して作成した個人情報を含む一部のファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。
そして再発防止策については、以下のように説明していました。
「Googleドライブ」をはじめとしたファイル管理・共有を行うクラウドサービスにおいて、アクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施しました。
企業が使用しているGoogleドライブ (Google Workspace) では管理者はGoogle管理コンソールにログインして、アクセスチェッカーという設定を使用することにより、制限のレベルを以下のいずれかに変更できます。
- (最も制限が緩やか)[受信者のみ]、[組織名]、[一般公開] のいずれか - ユーザーは、任意の共有オプションを選択できます。これには、リンクを知っている全員へのアクセス権の付与を含みます。このオプションは、組織で外部共有が有効になっていて、ウェブ上でのファイルの一般公開をユーザーに許可している場合にのみ使用できます。
- (より制限が厳しい)[受信者のみ]、[組織名] のいずれか - ユーザーは、特定の受信者または組織内のすべてのユーザーのみにアクセス権を付与できます。
- (最も制限が厳しい)[受信者のみ] - ユーザーは特定の受信者にのみアクセス権を付与できます。ファイルが他のユーザーと共有されている場合、共有相手も引き続きアクセスできます。
セキュリティ意識の高い企業であれば、リンクを知っている全員へのアクセス権の付与を含む[受信者のみ]、[組織名]、[一般公開] のいずれかは選択せず、(より制限が厳しい)[受信者のみ]、[組織名] のいずれかを選択します。
しかし、エイチームの管理者はセキュリティ意識が低かったため、(最も制限が緩やか)[受信者のみ]、[組織名]、[一般公開] のいずれかで設定して、リンクを知っている全員へのアクセス権の付与を可能にしていたということです。
全員へのアクセス権の付与を確認する方法
ファイルがリンクを知っている全員へのアクセス権の付与になっているかどうかは、ブラウザのシークレットウィンドウで開いてアクセスできるかどうかで確認できます。
アクセス可能であれば「リンクを知っている全員へのアクセス権の付与」になっているので、個人情報などが含まれるファイルであれば閲覧権限の変更が必要です。
Googleドライブ内すべてのファイルをチェックするシート
Googleドライブ内の「リンクを知っている全員へのアクセス権の付与」になっているファイルを1つ1つ手作業で確認すると膨大な時間がかかります。
しかし、「Googleドライブで全員閲覧可能になっているファイルを検出するシート」を使えば、Googleドライブ内の「リンクを知っている全員へのアクセス権の付与」になっているファイルを一括で検出できます。
使い方は以下のリンク先のGoogleスプレッドシートで「ファイル => コピーを作成」を選択し、コピーした後に「実行」ボタンを押すだけです。
初回実行時は「認証が必要です」と表示されるので、「許可」してから実行ボタンを押してください。
実行中はGoogleスプレッドシート上に「スクリプトを実行しています」が表示され、これが表示されなくなったらGoogleドライブのすべてのファイルのチェックは完了です。
Googleドライブで全員閲覧可能になっているファイルを検出するシート
