00:01
トレロの情報ダダ漏れ問題についてです。
トレロという看板方式でタスク管理ができることが特徴なサービスがあります。
このトレロのボードを公開状態で、ネットで誰でも見られる状態で作成していた企業があって、
それが検索エンジンで検索できるようになっていたんですね。
そこには面接の結果が載っていて、就活生の個人情報が載っていて、
顔写真付きの履歴書や住所がダダ漏れ状態だったと。
さらに面接時の評価コメントも載っていて、その内容がかなり辛辣だったりしていて、
それを検索エンジンで見つけた人がいて、内容を含めて公表しちゃったんですね。
そして他にもトレロの公開URLのドメインをつけて検索すると、
いろんな企業がいろんな情報をダダ漏れ状態で公開してるぞということで騒ぎになっていました。
そのことをネタにしたり記事にしたりしてる人が、みんなトレロの設定ミスでセンシティブ情報が流出とか、
トレロの誤設定と言ってるんですね。で、そこが私は気になりました。
設定ミスをしてるんじゃなくて、公開にしている人はみんな自ら選んで公開にしてるはずなんですね。
トレロではまずボードを作るんですが、このボードを作るときのデフォルトの設定はチームにのみ公開なんですね。
チームにのみ公開と非公開と公開の3種類が選べます。
そしてチームも必ず作るのがトレロの前提になっているので、
一人で使うにしても最初使い始めの時に必ずチームを設定しないといけないんですね。
これちなみにタスク管理ツールのAsanaも同様ですね。
なのでトレロでボードを作るときは誰でも必ず初期設定はチームにのみ公開なので、間違えて公開にしてしまうことはまずないと思います。
しかもこの公開範囲の設定はボードを作るときにものすごく目立つように出てくるので見逃すこともまずないと思います。
03:12
なので今回情報をダダ漏れ状態にしていたトレロを使っていた人は意図して公開状態にしていたはずなんですね。
じゃあなぜかというと私はすごく思い当たる節があるんですが社内のメンバーと共有するためだと思います。
本来そういう使い方をするには社内の各メンバーがトレロのアカウントを作って、
それらのアカウントでメンバーを作ってメンバー内に公開していればなんてことはないんですが、
アカウント登録をしてもらうハードルを考えて公開リンクでの共有でいいやと考えてしまったんだと推測します。
ITリテラシーの低い上司だったりに対してトレロのアカウントを作ってくださいというのはなかなか言いにくいんじゃないかと。
せっかくの便利なツールなので使いたいけどアカウントを作らなきゃいけないというと、
じゃあそんなツール使わなくていいと言われるかもしれないし、じゃあ共有リンクで見てもらえばいいやと思ってしまったんだろうなというのがかなり的いた推測じゃないかなと思います。
じゃあ今度は問題になってくるのは検索エンジンに引っかかる検索エンジンのbotクローラーにインデックスされるかどうかをトレロがちゃんと説明していたかどうかですね。
これに関してはトレロは親切に公開範囲の設定のところにちゃんとそれぞれ説明文を入れてるんですね。
ただ公開するところの設定文を今から読みますが、インターネットに接続括弧グーグルを含む括弧閉じるしているすべての人がこのボードを閲覧できます。
ボードメンバーのみが編集できますと書いてるんですね。この括弧グーグルを含むがGoogleの検索エンジンに拾われますよということを意味してるにしてはちょっと説明不足ですよね。
そもそもこれ括弧の位置がおかしいんですよね。インターネットに接続の後に括弧グーグルを含むと書いてるのでGoogleでインターネットに接続してるみたいなイメージですよね。そうじゃなくてインターネットに接続しているすべての人括弧グーグルを含むが括弧の位置としては正しいということになると思います。
06:23
ただこれでも説明としてはちょっと足りてないのでインターネットに接続しているすべての人括弧グーグル検索エンジンを含むとかにすればわかりやすくなったのかなと思います。
正確に言えばGoogleのクローラーを含むとかGoogleのbotを含むになるんでしょうけどそれはそれで用語を知らない人にはわかりにくくなりますね。
ここの部分は後から録音して追加してるんですがボードを公開に変更しようとすると公開に変更しますかというダイアログが出てきてそこにGoogleなどの検索エンジンに表示されますと明記してありました。
しかも公開しているボードの場合上の方にこのボードは公開に設定されています。公開範囲はいつでも変更できますと明記してありました。
これは消すことはできるみたいなんですがかなり公開状態には気をつけろと検索エンジンにも表示されるよと注意喚起しているのでこれはトレロは悪くないと言えると思います。
ここまで後で録音した追記の部分でした。
なお公開設定時に検索エンジンにインデックスするかどうかを選べる選択肢があるのが今後のこういうツールのスタンダードだと思います。
私の推しツールのノーションもルームも公開時にサーチエンジンインデックシングをオンオフするスイッチがあります。検索エンジンに拾わせるかどうかを設定できるんですね。
ノーションの場合は検索エンジンに拾わせるには有料プランである必要があります。
私が想定した上司に公開リンクでトレロのボードを共有していた担当者がいたとして、今回の騒動で検索エンジンに拾われることを知ったら公開をオフにしようと思いますよね。
09:14
でも上司はその騒動を知らなくて、ちゃんとトレロの公開リンクで情報を見ていた場合、なんでアクセスできなくなったのかと聞いてきますよね。
その時正直に状況を説明するかどうかは悩ましいですよね。
私だったら正直に言わずになんとかごまかそうと考えるかもしれません。
なおGoogleの検索エンジンに引っかかるようになってしまっているページですが、Googleに削除依頼を出せると思うかもしれないんですが、
自分でGoogleサーチコンソールで管理しているサイトのページじゃないと削除依頼は出せないようです。
トレロのページは自分で管理しているページではあるけれど、トレロのサービス内のページなのでそこまでコントロールはできないということですね。
ということでトレロの情報ダダ漏れの話は設定ミスではなく検索エンジンに拾われることを知らずに公開設定にしちゃった人が多かったんだろうなという話でした。
