Trelloとかいう「タスク管理ツール」経由で情報漏えいが発生した!とかで「Trelloを使ってないことを調査せよ」というのが大至急扱いでやってきた。コンピュータネタ、目次へ
こういう言いまわしをされると「使ってないの前提だよ。でも調査したって言わないとボク困るからよろしくね」感が漂いまくってしまい、ユーザー要望に従い「使ってません」の回答を返すのが礼儀なのだが、な〜にか引っかかった。
「タスク管理ツール」といわれたとき、システム開発やってる人間は「タスク管理はOSの機能の一部のはずだけど」と思いながらも「まあ、UNIXではプロセスのことをタスクとよく呼んでるし、Windowsはサーバー用途のものであってもタスク管理をやっているようには思えないから、そのへんの問題点を埋める、運用管理システムみたいなミドルウェアがあるんだろう」と思ってしまうんじゃなかろうか。というか、私がそう思った。でも気になる。試しに検索してみると、Trelloというのは各個人やチームがToDoを共有するWebサービスなんだそうです。であれば、「タスク管理ツールを使っているか」とタスク管理が必要そうなサーバにインストールされているソフトを調べても使用状況を調査したことにはならないということ。うーん「ToDoを共有するWebサービスであるTrelloを利用したことがあるか」という言い方で調査依頼を出してほしかったなあ。ましてや「大至急」でしょ。休みのメンバー、在宅勤務のメンバーがいる中で、各自がTrelloがどんなものかを調べた上で調査して回答返す余裕があったかどうか。ないでしょ。
調査単位も「システム単位」ではなくて、「組織単位」すなわち部署単位、課単位、開発チーム単位、運用チーム単位、スタッフ単位、ということが望ましいから、いつものルートとはちょっと外れてくるんだよね。「大至急」だったらそこまで考えて調査依頼を出さないと。もっとももし使っているのが見つかってしまったら困るので、わざとぼかした、という可能性も・・・ないわー。
更に気になっているのはTrelloには無料版もあるので、数人の仲間内で連絡用に使っている可能性もあることです。「テレワークにTrelloは有効なツール」なんて記事もインプレスの連載で取り上げられたりしてるから。
じゃあ、どうやって使用しているかを確認しよう。本当はTrelloを使用しているとPCに保存されるCookieやあるいはWeb Strage APIやIndexedDBが使われているといった情報が、ちゃんと調べられる部署が手がかりを見つけてくれて、それに応じて簡易的でもツールを作れる人間が社内にいるから(たくさんいるはずである)、その人が書いて、と、本来はそうならなければならない。が、それすらも間に合わないような「大至急」なのだろうか。
あたしが(一時的にフォーメーションを外されて時間的余裕があったので)、ブラウザのキャッシュ内部のファイルをバイナリでこじ開けてTrelloの文字列がないか探す、というツールを突貫工事で作り上げた。いや、そんだけ。
古い話だが、Winnyがインストールされているかはすぐに分かった。しかし問題のあるWebサービスにアクセスしたことがあるか、なんてどうやって調べるのだ。リアルタイムであればウィルス対策ソフトの技術を流用することができるだろうが。ともかく相談に来る人がいたら「自分のデータが他に見られないようにきちんと設定して使っていることが確認できたから、データ流出の問題はない。でも念の為、今後はTrelloを使わないように内部で徹底した」と答えたんでいいんじゃないかなあ、とつぶやいてみよう。
そもそもTrelloで情報公開しているユーザーが悪いのであって、情報漏えいをソフトのせいにするのはいかがかと思う。PublicとPrivateの区分を日本語化する際に「公開」「非公開」とするのは何十年も前からやってるでしょ。知らないほうが悪い。でも「テレワークにTrelloが有効」という記事。どれ見ても「設定で情報を守りましょう」というのは一言も出てこないな。きっとそういう会社の内部情報は・・・、見つけやすそうだな。