Notionのセキュリティ対策及び各種権限について
こんにちわ!
今回もNotionについて書いていきます。Notionに限らず、どのツールでも社内導入する前にセキュリティについて調べる必要があります。
特に、機密性の高い情報を扱う場合や複数のユーザーがアクセスする場合は、適切なセキュリティ対策が不可欠です。ここではNotionのセキュリティ対策と各種権限について説明したいと思います。
本記事のベースを作成する際に調べた情報は、2023/12/14前後のものとなっています。Notionは、日々アップデートされているため、部分的に内容が異なる可能性がありますのでご注意ください。
Notionのセキュリティ対策
ツールとしてのセキュリティ対策については以下のページが参考になる。
上記では、Notionに潜むセキュリティリスクとして5つ紹介されている。
外部公開されてしまうリスク
情報改ざんリスク
ゲストユーザーとして外部の無関係なユーザーの招待
ワークスペース間でページの複製や移動によるデータ流出
エクスポート機能による情報流出
いずれも人為的なミスによるリスクである(正直このレベルのツールが使用できないとなるとそもそもクラウドツールは使用できないので、ツールとしてのセキュリティリスクはそこまで気にしなくて良いかと思っています)。
セキュリティリスクの対策について、Notionの権限設定を適切に行うことが重要であると述べられている。
※より強固な対策を実施したい場合はエンタープライズプランの契約が必要。
Notionの権限について
権限には以下の3つの要素がある。
人に対する権限
グループに対する権限
ページ(チームスペース)に対する権限
人に対する権限
人に対する権限には以下の4つがある。
ワークスペースオーナー
ワークスペースの設定の管理、ワークスペースの削除、ほかの管理者、メンバー、ゲストの管理を行える管理者です。
メンバーシップ管理者(エンタープライズプランの場合のみ)
ワークスペースやグループからメンバーの追加/削除を行い、管理します。メンバーシップ管理者はワークスペースの設定にはアクセスできません。
メンバー
Notionのページを作成・編集できる一方で、設定の編集はできない、チーム内のユーザーです。
ゲスト
特定のページで一緒に作業するチーム外のユーザーです。ゲストは、個々のNotionのページに招待することはできますが、ワークスペース全体に招待することはできません。
ページ(チームスペース)に対する権限
ページに対する権限には以下の5つのレベルがある。
フルアクセス権限
ページを編集し、他のユーザーと共有できます。
編集権限
ページは編集できますが、共有はできません。
コメント権限
ページを編集することはできませんが、ページを表示したりコメントを残したりすることはできます。
読み取り権限
ページを表示できますが、コメントを残したり、共有したり、編集したりすることはできません。
アクセス不可(削除)
ページは非表示になり、検索結果にも表示されません。
データベースの場合のみ、もう一つ コンテンツ編集権限 というオプションがあります。
プロパティの値の入力や、データベース内のページの編集はできますが、データベースの構造やビュー、フィルター、並べ替え、またはプロパティを変更することはできません。
アクセス不可は以下の様に表示される。
ページ自体は表示されず、リンクページはアクセス不可と表示される。
グループに対する権限
グループを作成することでグループ毎の権限設定が可能になる。一人一人ページ毎に設定するのは大変なので、グループ毎に権限を割り当てれば管理が楽になる。
ワークスペースオーナーであればグループ作成・変更が可能。
メンバーシップ管理者が変更できるのは、既存のグループのみ。
グループに対して割り当てられるページの権限は[ページ(チームスペース)に対する権限]と同様。
スペースの概念
ページを作成できる領域としてワークスペース、チームスペース、シェアスペース、プライベートスペースなどがある。以下の動画が参考になる。
以下は公式ページの説明。
ワークスペース
ワークスペースは、契約単位(組織単位)でNotion画面左上に表示される、最上位の概念となります。
プランの契約はワークスペース単位で行う
1つのアカウントで複数のワークスペースを契約するとそれぞれのワークスペースで料金が発生する
複数のワークスペースを使っている場合は左上のワークスペースをクリックして切り替えることができる
チームスペース
チームスペースは、部署やプロジェクトなどの各チーム毎の専用エリアになる。
ワークスペースには少なくとも1つデフォルトチームスペースが用意され、必要に応じていくつも作成することができる。
チームスペース毎にアクセス許可を設定できる
オープン
誰でも参加・アクセスできる。
クローズド
チームスペースの存在は認知できるが、中身を見るにはオーナーかメンバーから招待してもらう必要がある。
プライベート:ビジネス以上のプラン契約が必要
招待されたメンバーしかチームスペースの存在を認知することができません。
チームスペース毎に権限を設定できる
権限設定はチームスペース毎に設定できるだけでなく、チームスペースに配置されるページ単位でも変更可能です。
よって基本的には編集権限を付与するが、特定のページのみコメント権限にするといった運用が可能。
❓ 親ページよりも権限を強めることもできるのか?例えば`コメント権限`が付与されている親ページの下の子ページに`編集権限`を付与するなど。
→可能。以下の公式ページに「デフォルトでは、ページにネストされたページ(子ページ)はそのページをネストしているページ(親ページ)の権限を継承します。ですが、子ページにおいては必要に応じて親から継承した権限より上位または下位の権限を設定することも可能です。」記載あり。
権限の基本方針
編集する人は編集権限
編集する人を制御する人がフルアクセス権限
その他はコメント権限
コメントすらもつけてほしくないと言う理由がある場合に限り、読み取り権限
データベースの場合は基本コンテンツ編集権限とし、プロパティの設定等をいじる(データベースの仕組みを作る)人のみ編集権限
シェアスペース
特定のユーザーと共有しているページをシェアスペースという。
共有から特定のユーザー、グループ、メールアドレス等で招待することで参加できる。
シャアスペースもチームスペース同様、ページ毎に権限設定が可能。
ワークスペースに所属していないユーザーは外部ユーザーであるゲストとして扱われる。
ゲストはプランによって招待できる数に制限がある。
プライベートスペース
個人用のスペース。
共有しない限り他の人が閲覧することはできない。
個人用のメモページとして活用する。
プラン毎の違い
以下公式の比較表。
ポイント
チームスペースを活用する場合は、プラスプラン以上にする必要あり。
シェアスペースとして共有するだけで事足りる場合は、フリープランでも良い。招待できる上限は10名まで。
プラスプラン以上であればファイルのアップロードサイズに制限がなくなる。(フリープランの場合は、5MBまで)
ページを復元できるページ履歴はエンタープライズプランのみ無制限となる。
ただしあくまで復元できる期間だけの話で、どのプランでも変更履歴は無制限で参照できる。
細かな権限設定を行いたい場合は、エンタープライズプラン一択。
管理とセキュリティに関する機能のほとんどがエンタープライズでしか活用できない
プライベートなチームスペースを活用したい場合は、ビジネスプラン以上にする必要あり。
まとめ
Notionは、情報を共有しやすい点が最大の強みである反面、そこには人為的なセキュリティリスクが潜んでいます。適切な権限設定を理解し、セキュリティリスクを軽減することが重要です。
特に以下についてはしっかりと理解しておくと良いかと思います。
権限の設定をしっかりすることが重要。
ワークスペースオーナーは、ワークスペースに関するあらゆる設定やメンバー、役割の設定変更ができるため、誰がこの権限になっているかということを管理することが重要。
フルアクセス権限はページを共有(Web公開含む)する権限を持っているため、誰がこの権限になっているかということを管理することが重要。
チームスペースは適切にオープン、クローズドを設定する。
セキュリティ対策を徹底したいならエンタープライズプランしかない。
最後まで読んでいただき、ありがとうございます。この記事が参考になれば幸いです。