Googleグループの情報漏洩を防止しましょう。


Googleグループの情報漏洩が問題となっています。Googleグループには「メーリングリスト」機能と「フォーラム」機能が一体になっており、一般に公開することを前提にしたオプションがあります。このオプションの意味を知らなければ、広く公開してしまうリスクが常に存在します。今回はSEOとは直接関係ありませんが検索という視点で注意喚起を含めて、本稿を掲載します。

※誤った理解を避けるため、この記事だけで無く他のサイト記事と注意喚起を熟読する事を強く推奨します。その上で以下を実行ください。
■トピックを表示から「すべてのユーザ」を外す。
■ディレクトリからグループ表示のチェックを外す

詳細は以下。
注意喚起:http://www.lac.co.jp/security/alert/2013/07/10_alert_01.html

Google Appsでは「メーリングリスト機能」と「フォーラム機能」が併用となります。それがGoogleグループです。
Googleグループの情報漏洩はGoogleグループの仕様を理解していないために発生しています。

Googleグループは「フォーラム」機能で有り、一般に公開することを前提にしたオプションがあります。このオプションの意味を知らなければ、広く公開してしまうリスクが常に存在します。

1)xxxx@domain.comというグループアドレスを作る。
2)xxxx@domain.comというグループアドレスにメンバー(個人用メールアドレス)を登録する。
3)グループアドレスにはメーリングリスト機能があり、オーナーへの通知という形でメンバー全員に投稿のコピーや添付ファイルの送信が可能になる。

スクリーンショット 2013-07-11 21.40.36
極めて判りにくいのですが、「グループのオーナーに連絡する」でチェックが入っている範囲がメールを送受信できる範囲となります。この問題の全ては、この不親切な表現にあります。
引用元:http://toyokeizai.net/articles/-/15340?page=2

4)フォーラムの投稿なのだから、フォーラムにも書き込まれてしまう。

これがデフォルトです。

対策は、「グループのオーナーに連絡する」から「全てのユーザ」のチェックを外すことで解決できそうに見えます。しかしー
仮に「グループのオーナーに連絡する」から「全てのユーザ」のチェックを外してしまうと、外部アドレスからのメール受信が不可になります。複雑怪奇な仕様。

5)グループに含まれていないメールアドレスからはグループアドレスに送信できない。逆にグループアドレスからメンバ外に送信することも出来ない。

メールのやり取りが組織内に限られるなら問題ないのですがー

6)組織外からのメールもグループアドレスで受信可能にしたい。

メンバーと外部の人にやり取りするときCC:にグループアドレスを入れる。これ、よくありますよね。しかし、「すべてのユーザ」にチェックが入っていないとCC:も返信もメンバーは受け取れません。

7)結局「すべてのユーザ」にチェックをいれます。

上記をした場合、公開範囲を限定するためには以下を行います。ここがポイント!

8)トピックを表示から「すべてのユーザ」を外す。


デフォルトでは上図のようにチェックが入った状態です。「すべてのユーザ」のチェックは必ず外しましょう。メールは受信できてもフォーラムは閲覧不可になります。
尚、有償版のAppsの場合、「すべてのユーザ」は存在しないので問題は発生しにくいですが、確認と再テストすることを強くお薦めします。

スクリーンショット 2013-07-11 21.40.52
さらに、以下をする事で、フォーラムの存在も隠蔽できます。

9)ディレクトリからグループ表示のチェックを外す

スクリーンショット 2013-07-11 21.41.18 チェックを外せば完了です。

あくまで最低限のセキュリティです。組織内の限定的なメーリングリストなら、可能な限り第三者投稿を不可にした方が良いとおもいます。また、フォーラムを使用しないなら、さらに制限を厳しくすることも考えて方が良いでしょう。テストをして、複雑さを理解しないとミスは必ず起こります。


関連記事

コメントは利用できません。

ページ上部へ戻る