COLUMN

1.そもそもNotionとは

Notionは、アメリカにあるNotion Labs社が提供している多機能型クラウドツールです。

ドキュメント作成はもちろん、タスク管理やカレンダー・チームスペース・社内Wikiなど多数の機能が備わっています。そのほか共有作業やWordやGoogleドキュメント・Excel・Googleスプレッドシートなどもインポートできるため、仕事の効率化を図れます。

マルチデバイス機能のため、外出先でスマートフォンやタブレットでも使用可能です。社内のデスクトップでダウンロード版を、テレワークなどでパソコンを使用する場合はWeb版・スマートフォンにはモバイル版とデバイスに合った使い勝手の仕様になっています。

以前は日本版がありませんでしたが2022年11月に待望の日本版が提供され、利用者は2022年には2,000万人以上で日本でも人気のサービスです。

日本でも人気のあるNotionについてくわしく知りたい方は、こちらの記事もご覧ください。

Notionはどんなアプリ？特徴・メリットや機能・使い方、料金プランについて徹底解説

1-1.プラン別機能比較

Notionは4つのプランがあり、プランごとに機能が異なります。違う点は以下の通りです。

• 横にスクロールします

※2023年8月時点での料金です。

プライベートのチームスペースが作成できるのは、ビジネスプランとエンタープライズプランのみです。より細かいチームスペースの権限を設定したい場合はエンタープライズプランを選びましょう。

またセキュリティ対策についてもプランによる違いがあり、エンタープライズプランを選択することで、最も高い情報セキュリティ対策が可能となります。

エンタープライズプランの価格について問い合わせをすると、担当営業から連絡がきます。エンタープライズプランのセキュリティや価格面を知りたい方は、問い合わせをしてみましょう。

また、基本料金とは別にオプションで毎月＄10を支払えばNotion AIも使用できます。Notion AIも活用すれば、より効率良く作業ができたり翻訳ができたりします。詳しくは以下の記事で紹介していますので、参考にしてください。

Notion AIとは？使い方や料金、ChatGPTとの違いについて紹介

2.Notionのセキュリティ対策

Notionはゲスト機能などもあることから、よりセキュリティが気になるでしょう。この章では、Notionの情報セキュリティ対策として、どのようなものがあるのか解説をします。

2-1.データのセキュリティ

Notionは、5つの機能や方法でデータのセキュリティを保護しています。

1.アクセス監視

2.バックアップ

3.保存中のデータの暗号化

4.転送中のデータの暗号化

5.シングルオンサイン

順番に解説します。

2-1-1.アクセス監視

Notionは、システム全体をログで記録しアクセス監視をしています。

ログで記録している内容は、アプリケーションにアクセスした履歴・管理者が変更した内容・システム変更などです。

また時間外にデータが開かれた場合にアラートを出して、ログとして記録をとるため、外部から万が一アクセスされてもすぐに検知できます。そのほかログ管理をする際、重要な内容のログのみを取り込むことも可能です。

2-1-2.バックアップ

Notionでは、大手クラウドサービスAWSのデータベースを複数使用しデータの保管をしています。もともとAWSは耐久性が高いインフラストラクチャを提供しており、99.9％の耐久性があるといった点もセキュリティの観点から安心できます。

データは少なくとも1日1回、自動でバックアップが行われており、バックアップ中も暗号化・監視を行っています。

2-1-3.保存中データの暗号化

保存中のデータは、AES256で暗号化しています。

AESとはアメリカの国立標準技術研究所で政府標準となっている暗号化アルゴリズムで、AES256以外に128や192もあります。この数字が高いほど暗号化の強度が高いため、AES256はAESの中でもいちばん強い強度があるのです。

Notionで保存されているデータがどこにあってもAES256の対象で、ネットワーク上はもちろんクラウドストレージやデータベースなどでも暗号化されています。

2-1-4.転送中データの暗号化

データは保存中のものだけでなく転送中のデータもTLS 1.2またはTLS 1.3で暗号化されています。

TLSとはコンピュータ同士がやり取りをする暗号化のことで、SSL通信の進化バージョンです。TLS 1.2から、改ざん検出に使用するハッシュ関数であるSHA-2も追加されているため、より強度の高い暗号化で守られながら転送が可能です。

2-1-5.シングルサインオン（SSO）機能の提供

ビジネスプランとエンタープライズプランのみ、シングルサインオンの機能がありSAML SSOの2.0を使用しています。

SAMLとは、シングルサインオンで使用するマークアップ言語を中心とした認証情報の規格です。SAML SSOで本人認証が一度とれれば、他のサービスにログインするときに再度ログインする必要なく利用可能です。結果、業務負担を減らしパスワードの使いまわしなども防げるためセキュリティ強化にもつながります。

適用できるサービスはGoogleやAzure、OneLogin・Rippling・Oktaなどがあります。

情報セキュリティ対策として、多要素認証ができるOktaを設定するとより安心です。Oktaいついて詳しく知りたい方は以下の記事を参考にしてください。

Okta（オクタ）とは？特徴的な機能や導入するメリット・注意点を解説

2-2.アプリケーションのセキュリティ

アプリケーションでも、以下の情報セキュリティ対策が施されています。

1.コード分析

2.SDLC

3.視覚情報の管理

4.脆弱性とパッチ管理

5.WAF

ひとつずつ解説します。

2-2-1.コード分析

Notionでは、セキュリティチームと開発チームでコード分析をしています。

新リリースやアップデートの際は、コード分析をして脆弱性の洗い出しを行います。そのほかソフトウェアのアーキテクチャを分析しセキュリティ強化もしています。

重要な機能を提供する場合はコード完成後、コード監査とコードレビューを行い、コードベースのセキュリティスキャンを実施しているため、セキュリティに強いサービスの提供が可能です。

2-2-2.SDLC

Notionでは、高品質なソフトウェアを開発するためにSDLCを使用しコードが安全に記述されるように段階を踏んでいます。

SDLCとはソフトウェア開発サイクルのことで、より高品質なシステムを開発するためのサイクルのことです。

コードが完成した後もベンダー企業と協力してセキュリティスキャンをしたり、サービス提供後も、バグバウンディを利用してバグの発見を早めたりしています。

ソフトウェア開発サイクルにのっとって新しいサービスを提供することで、より品質が良くセキュリティに強いサービスを提供できます。

2-2-3.資格情報の管理

Notionでは、キー管理サービスを使用しているため、暗号化キーの管理を安全に行えます。暗号化キーは特定のロールに割り当てられますが、最小権限の原則に基づいているため必要以上には割り当てられません。

またキーは毎年自動的にローテーションしており、キーの使用状況についてはログ監視されているため、よりセキュリティが強化されています。

2-2-4.脆弱性とパッチ管理

Notionのシステムに関連する全ての機器と製品の脆弱性を、スキャンしパッケージ監視を行っています。

内部サービスはもちろん、外部サービスに対しても定期的にパッチを適用し問題検出をしており、万が一脆弱性が発見されれば重大な問題から順に解決していくようになっています。

2-2-5.WAF

すべてのパブリックエンドポイントで、マネージドWebアプリケーションファイアウォールを利用し、サイバー攻撃を守っています。

万が一脆弱性が見つかったとしても、被害がでない様守られています。

2-3.企業セキュリティ

Notion Labs社は、企業としても以下の情報セキュリティ対策を行っています。

1.従業員のセキュリティ研修

2.人事セキュリティ

3.インシデント対応

4.内部セキュリティ監査

5.内部SSO

ひとつずつ解説します。

2-3-1.従業員のセキュリティ研修

Notionの従業員は入社時だけでなく、毎年セキュリティ研修を行っています。そのため従業員に対してもセキュリティの意識を根付かせています。

またNotionの社員としてのあるべき姿を理解するため行動規範を理解してもらい、企業の情報セキュリティ対策に関しても全ての従業員から同意を得ています。

2-3-2.人事セキュリティ

Notionでは就業する現地の法律や規制に従って、入社する社員の身元調査も実施しています。ホワイトな企業にするためにも、従業員に対しての調査を徹底しているのです。

2-3-3.インシデント対応

Notionでは、インシデントの対応も行っています。

情報セキュリティ事故が起きないよう管理計画を作成し、毎年1回以上レビューとテストを繰り返しています。

手順としては、準備から始まり、特定・封じ込め・調査や根絶を経て、回復・復旧・フォローアップ/事後分析です。ランサムウェアの感染やフィッシング・DDoS攻撃などに対して情報セキュリティ対策を行っているため、より安心して利用できます。

2-3-4.内部セキュリティ監査

内部の情報セキュリティ対策も大切です。

Notionでは、自社の情報セキュリティ対策が実施されているか、内部のセキュリティ監査を毎年1回以上行っています。そのためセキュリティの知識が従業員に身についています。

2-3-5.内部SSO

Notionでは従業員に対して、多要素認証を必須としています。

そのためNotionのIDプロバイダにログインする場合も、多要素認証で入りセキュリティをより強化しています。

Notionの導入をご検討の方、ご相談などお気軽にNTT東日本までお問い合わせください。

3.Notionが取得している認証規格

Notionでは、以下5つの認証規格を取得しています。

• ISO27001 : 2013
• SOC2 Type 1 report
• SOC2 Type 2 report
• EU-U.S. Privacy Shield
• Swiss-U.S. Privacy Shield

上記5つ全てが、セキュリティやプライバシーに関する認証規格です。

ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。SOC2はサイバーセキュリティフレームワークで、この認証を受けることによって安全なサービスを提供していることが認証されています。Type1とType2の違いはある時点の1点のみの監査での認証と6ヶ月以上連続して監査をうけた認証の違いです。長期間の監査でも認証をうけていることから、より安全性が担保されているといえます。

Privacy Shieldは、EU市民個人情報のプライバシー保護についての認証規格です。2つの違いは、ヨーロッパ・アメリカ間とスイス・アメリカ間の認証の違いです。

4.エンタープライズプランでのセキュリティ対策の違い

セキュリティを強化したい方は、エンタープライズプランがおすすめです。

エンタープライズプランは、他のプランに比べ情報セキュリティ対策が手厚いのが特徴です。

具体的には、以下のセキュリティがエンタープライズプランにはあります。

• 分析
• 監査ログ
• メンバー管理
• 管理者コンテンツ検索
• スペースでの高度なセキュリティ制御
• 外部公開の禁止
• 復元がいつでも可能
• ユーザープロビジョニング
• 公開済みページの一覧取得
• シングルサインオン(ビジネスプランにもあり)

セキュリティを強化したい方や、細かい設定をしたい方にはエンタープライズプランが最適です。エンタープライズプランを検討している場合は、1ヶ月の無料お試しも可能なため、ぜひ試してみると良いでしょう。

5.Notionの導入を検討しているならぜひNTT東日本にご相談ください

Notionは、さまざまな機能を使用できるため活用することでより業務負担の軽減はもちろん、作業の効率化も図れます。またセキュリティに関しても、データセンターをAWSに置き、データ・アプリケーション・企業としてのセキュリティも万全です。

NTT東日本では、Notionの導入相談も受け付けています。

Notionの導入を検討している方は、ぜひNTT東日本にご相談ください。

クラウドに関するご相談・お問い合わせフォーム

6.Notionのセキュリティについてまとめ

Notionのセキュリティは、データ・アプリケーション・企業としてもより細かい情報セキュリティ対策が行われています。

データセキュリティ対策として、暗号化はもちろんアクセス監視や1日1回以上のバックアップを行っています。また、アプリケーションの情報セキュリティ対策では、コード分析やパッチ管理・キー管理サービスなどで安全です。

企業でより情報セキュリティ対策を強化したプランを使用したい場合は、エンタープライズプランを契約するとよいでしょう。