「グーグルグループ」の落とし穴

　「グーグルグループ」とは、インターネット上でメールを共有できるグーグルの無料サービスである。

　登録者の間で簡単にメールを同時配信したり、カレンダーやドキュメントなどを共有できるため、グループウェアや社内SNSを導入していない企業でも簡単に社内で情報共有できるメリットがある。

　利便性の高いサービスだが、今回のように一歩間違えれば簡単に情報を漏えいしてしまう危険性も持ち合わせている。

　一般的にグループウェアや社内SNSは、社内間での情報共有が目的であるため、管理者側でIDやパスワードの発行を制御することができ、情報自体もグループ内でしか見れないような仕組みになっている。

　しかし、「グーグルグループ」の場合、デフォルトの設定が一般に公開されるようになっている。つまり、一般的なグループウェアとは違い、初めからよりオープンな仕組みになっているのである。

　つまり、グループウェアの代用とするためには、適切な設定を行い、必要なメンバーのみアクセス可能な状態にしなければならなかった。

今回の事故は、この設定変更の必要性に気付かず、本来非公開の情報を扱いながらデフォルト設定のまま利用してしまったために起こった。おそらく一般的なグループウェアと「グーグルグループ」を混同してしまったためだと考えられる。 本件の当事者としては、まさかそんな落とし穴があったとは思いもしなかったのではないだろうか。

わかりづらい設定項目

　上記の通り、利用者の「グーグルグループ」に対する認識不足が、結果としてこのような事態につながった事は否めない。しかし、要因として考えられるのはそれだけではない。

　実は「グーグルグループ」の設定項目はお世辞にもわかり易いとは言えず、設定変更には多くの選択肢や制限がある。

　下の図はその設定画面であるが、左のサイドバーに設定や権限に関する項目が並んでいるのがわかるだろう。管理者はこれらをひとつずつ適切なメンバーに適切な権限を与えれるように設定しなければならない。


　一通り見ても設定項目が多くあり、初心者には一体どの項目で何を制限できるのか簡単には判別がつかないだろう。

　このように機能が多様化され便利である反面、設定の難易度も上がっている。情報共有の制限や設定がわかりづらく、複雑化していることもこのような事態を招いた要因と言える。利用者はこれらのことに十分注意して管理する必要がある。

企業の情報が丸見え状態に

　それでは実際にどのような情報が「グーグルグループ」でやり取りされているのだろうか？

　このニュースが報じられたのが7月10日ではあるが、情報が丸見えになっていた各省庁はこの時点で対策を講じていたため、現時点（7月13日）では大規模な情報漏えい事故とはなっていない。

　しかし、筆者が「グーグルグループ」の情報を検索して確認したところ、企業にとって見られてはいけないと思われる情報がたくさん出てきた。

　内容は企業の売上情報や利益など収支に関する内容や営業担当者の顧客対応に関しての報告書、社員の自宅の住所など個人情報が含まれるものもあり、それらが誰からも見れる状態となっていた。

　まさに社内情報のメールでのやりとりが簡単に覗き見できる状態である。これらは設定を変えない限り、これからも永遠に他者から見れる状態にあり、いつ、それらが情報漏えい事故につながってもおかしくない。

　これは「グーグルグループ」だけに限らず、DropboxなどのクラウドツールやFacebookなどのSNSでも起こりうる。

　実際に、筆者自身も重要ではない情報については、クラウドツールやSNSのグループでやり取りすることがあるため、取り扱う情報や方法については十分に注意している。

　万が一、悪意ある者が重要な情報を盗み見すれば、脅迫や詐欺などにも悪用される可能性も考えられる。企業はこれらのリスクに自社が晒されていないか、すぐに確認しなければならない。

【次ページ】このような事態を防ぐための対策