Slackセキュリティ設定ガイド:業務チャットを安全に守る方法
Slackワークスペースのセキュリティ完全ガイド。DMとチャンネルの違い、外部共有リスク、2FA設定、管理者コントロール、Slackで共有してはいけない情報まで解説。
Slackセキュリティ設定ガイド:業務チャットを安全に守る方法
Slack、Chatwork、Microsoft Teams — 今やビジネスチャットなしでは仕事が成り立ちません。特にSlackはIT企業やスタートアップを中心に広く使われています。しかし便利な反面、機密情報や顧客データ、個人情報が毎日Slackを通じてやり取りされ、セキュリティリスクも高まっています。
設定一つの見落としが、情報漏洩につながる可能性があります。
DMとチャンネル:セキュリティの違いを理解する
多くの人がSlackのDMは完全にプライベートだと思っていますが、実はそうではありません。
| 機能 | DM | チャンネル |
|---|---|---|
| 管理者が閲覧可能? | はい(有料プランのコンプライアンスエクスポート) | はい |
| 他のユーザーが検索可能? | いいえ | パブリックチャンネル:はい |
| 退職後も残る? | はい | はい |
| エクスポート可能? | Enterprise Grid:はい | はい(全プラン) |
重要ポイント: Slackのすべてのメッセージ(DMを含む)は、会社の管理者が閲覧できる可能性があります。会社のメールに書かないことは、Slackにも書かないでください。
外部共有の隠れたリスク
Slack Connectで社外のパートナーと協業できますが、セキュリティ上の盲点が生まれます。
1. ベンダーとの共有チャンネル
外部パートナーが参加しているチャンネルでは、メッセージ履歴、アップロードファイル、ピン留めされたドキュメントがすべて見えます。誤って社内文書を間違ったチャンネルに共有すれば、外部の人にも即座に見られます。
2. 有効期限のないファイル共有
Slackにアップロードされたファイルはデフォルトで期限切れになりません。半年前に共有した契約書PDF?チャンネルにいる全員がまだダウンロードできます。
3. ゲストアカウントの放置
シングルチャンネルゲストやマルチチャンネルゲストは時間とともに溜まっていきます。2024年のプロジェクトの外部委託先がまだワークスペースにアクセスできるかもしれません。
対策: 四半期ごとに外部メンバーとゲストアカウントを監査しましょう。
二要素認証(2FA)の設定
ワークスペースで2FAを強制していなければ、パスワード一つの漏洩で全体が危険にさらされます。
個人の2FA設定方法
- プロフィール → アカウント設定を開く
- 二要素認証 → 二要素認証をセットアップをクリック
- 認証アプリ(推奨)またはSMSを選択
- バックアップコードを安全な場所に保管
管理者向け:2FAの強制適用
管理 → ワークスペースの設定 → 認証で、全メンバーに2FAを必須に設定してください。例外なし。
ヒント: Slackの2FAバックアップコードはLOCK.PUBのパスワード保護メモに保存しましょう。LINEのKeepメモに保存するより断然安全です。
必須の管理者設定
Slack管理者なら、ワークスペース作成初日にこれらの設定を確認してください:
| 設定 | 推奨値 | 理由 |
|---|---|---|
| メッセージ保持期間 | カスタム(一般:90日、コンプライアンス:長期) | 侵害時の露出範囲を制限 |
| 外部ファイル共有 | 制限 | 誤送信によるデータ漏洩防止 |
| アプリインストール | 管理者承認制 | 不正なアプリ連携をブロック |
| メール表示 | 外部ユーザーに非表示 | フィッシング対象の縮小 |
| チャンネル作成 | 社内:自由、Slack Connect:制限 | 情報の無秩序な拡散防止 |
| セッション期間 | 最大30日 | 定期的な再認証を強制 |
アプリ権限の管理
サードパーティSlackアプリは主要な攻撃ベクトルです。
- 既存アプリを四半期ごとに監査
- 使っていない連携は即時削除
- 新しいアプリのインストールは管理者承認必須に
- OAuth権限の範囲を確認 — シンプルな投票アプリに全メッセージの読み取り権限は本当に必要?
Slackで絶対に共有してはいけないもの
セキュリティ意識の問題です。以下の情報はSlackメッセージに絶対に書かないでください:
- パスワードやAPIキー — パスワードマネージャーやシークレット管理ツールを使用
- クレジットカード番号 — 一部の番号でもNG
- マイナンバーなどの個人識別番号 — 暗号化されたチャンネルでのみ共有
- 暗号化されていない顧客データ — 特に個人情報保護法の対象であれば
- 給与や人事情報 — 公式人事システムを利用
- 法務文書 — Slackでは秘密特権が保護されません
機密情報を安全に共有する方法
認証情報をSlackに直接貼り付ける代わりに、パスワードで保護されたリンクを使いましょう。LOCK.PUBで簡単に作成できます:
- 機密情報をセキュアメモに記載
- パスワードを設定
- LOCK.PUBのリンクをSlackで共有
- パスワードは別チャンネル(LINE、電話など)で伝達
情報は暗号化され、パスワードなしではアクセスできません。検索可能なSlack履歴に平文で残すよりはるかに安全です。
セキュリティチェックリスト
四半期ごとに確認してください:
- 全メンバーの2FA有効化
- ゲスト・外部アカウントの監査と整理
- アプリ権限の見直しと不要な連携の削除
- メッセージ保持ポリシーの適切な設定
- 機密チャンネルのファイル共有制限
- チームへのセキュリティ教育実施
- SSO設定(Enterpriseプラン)
Slackアカウントが侵害された場合
- 即座にパスワード変更し、全アクティブセッションを無効化
- ワークスペース管理者に通知 — 全デバイスの強制ログアウトが可能
- 接続されたアプリを確認 — 不明なOAuthトークンを取り消し
- 最近のメッセージを確認 — 自分が送っていないメッセージがないか確認
- 2FAを有効化(まだの場合)
まとめ
Slackはスピードのために設計されたツールであり、セキュリティのために設計されたものではありません。デフォルト設定はコラボレーションの利便性を優先しているため、セキュリティは管理者とチームが自ら対策する必要があります。
今日15分だけ使って、ワークスペースの設定を点検し、2FAを有効にし、Slackで共有すべきでない情報についてのガイドラインを作りましょう。
本当に機密性の高い情報を同僚に伝える必要がある場合は、Slackの代わりにパスワード保護されたリンクを使ってください。
キーワード
こちらもおすすめ
使い捨て電話番号ガイド — 用途、サービス、注意点
フリマ、オンライン認証、マッチングアプリで個人番号の代わりに使える仮想電話番号サービスを比較解説します。
スクリーンショット流出を防ぐ現実的な方法
スクリーンショットを100%防ぐことは不可能ですが、露出を最小限に抑えることはできます。有効期限、パスワード保護、情報分散などの実践的な対策を解説します。
もしも自分に何かあったら — 家族が困らないための情報整理術
突然の事故や入院で意識を失ったとき、家族が必要とする情報を安全に整理・共有する方法を解説します。銀行口座、デジタルアカウント、保険、医療情報まで網羅。