Posted at

Slackに誘われた時に確認するセキュリティ周りの7つのこと


はじめに

皆さんはSlackのワークスペースに招待されたことはありますか?

招待される時、必要なチャンネルへの参加や業務内の運用ルールの説明を聞くだけで終わっていませんか?

もしもの時、慌てないように万一の時のことについても、しっかり確認しておきたいものです。


対象

この記事は以下のような方々を対象にしています。


  • メンバーとして誘われたけど、Slackがよく分からない人

  • とりあえずSlackは使っているけれど、何かあった時のことを考えていない人


注意事項

ここには私が今までの現場で確認しておいた方がいいなと思った項目をまとめています。特に英語が苦手な人は設定画面を忌避する傾向があるので、存在自体を知らなかったりします。

抜け漏れや古い情報があるかもしれませんので、都度、自己責任で確認をお願い致します。「hogehoge忘れてるぞ」「fugafugaも追加お願いします」等ありましたら、コメントや編集リクエストにて指摘頂けるとありがたいです。

ここに書かれたことをメンバーが自身が実際に行うとは限りません。

特にログの確認やすべての端末からのサインアウトは、紛失した携帯端末とは別の端末から操作することになります。会社ではサインイン可能な端末が制限されている場合もあるので、緊急連絡先に報告した後はオーナーや管理者に任せるということも十分考えられます。

個人で勝手に判断して動くとかえって迷惑がかかる可能性があるので、誰が何をするのかはしっかり確認してから動くのが良いと思います。これも一種のセキュリティ事故ですので、できれば事前に話し合いしておけるといいですね。


想定するケース

AndroidやiPhoneにSlackアプリをインストールし、ワークスペースに参加&サインインしているとします。種別はメンバーとします。

貴方は飲み会に参加して、いい感じにほろ酔い状態。同期と良い気分で居酒屋から駅まで歩き、電車に乗って席に座って船を漕ぎ。最寄り駅から我が家まで、記憶もあやふやな状態で帰宅。

おもむろにポケットを探ってみると……私のAndroidが! 僕のiPhoneがない!

そんな事態に慌てず騒がず対応するため、Slackのワークスペースに参加した時に確認しておいた方が良い事項をまとめてみました。


Slackに誘われた時に確認するセキュリティ周りの7つのこと


緊急連絡先を確認する

会社であれば緊急連絡先の電話番号が周知されていると思います。趣味やプライベートの集まりであれば管理者の方のSNSやメール等でしょうか。

緊急度はワークスペース内でやり取りしている情報や権限にもよりますが、なるべく早く連絡が取れる手段を確保しておくのが無難です。

緊急連絡先はどこにメモしてありますか? 携帯端末だったら手元にないですよね? というか携帯端末を紛失したらどこから連絡しますか?


強い権限を持つ人を確認する

オーナーと管理者は強い権限を持っています。誰がどのメンバー種別を持つかは以下の画面で確認することができます。

万一緊急連絡先に繋がらなくても、自分で何とかできなくても、オーナーか管理者に「携帯端末を紛失したのでSlackの対応お願いします」と言えば大丈夫です。

緊急事態でなくても権限がある人には何かとお世話になります。覚えておくと頼りになります。

参考


メールアドレスを確認する

以下の画面で現在登録されているメールアドレスを確認することができます。

うっかり受け取れない状態になっていないか、現在使用可能なメールアドレスであるかは定期的に確認しておくようにします。

理由は強制パスワードリセットの際に必要になるからです。仕事用ならまず問題ないと思いますが、趣味やちょっとした同好会のアカウントだとあり得る話かと。容量が一杯で新しいメールが届かないとか、パスワードを忘れてログインできないとか。


2要素認証を設定する

以下の画面で2要素認証の設定をすることができます。

Slackに不正アクセス、2段階認証適用を呼び掛け - ITmedia NEWS』は記憶に残っている方も多いのではないでしょうか。2要素認証はなるべく設定しておいた方いいと思います。

一応書いておきますが別の端末に設定するようにします。紛失した携帯端末にSlackアプリも認証アプリも入っていたら意味がないので。

参照


パスワードの変更方法を確認する


パスワード変更方法

以下の画面でパスワードを変更することができます。

パスワードは定期的に変更します。基本的なことは散々言われていると思いますので、ここでは触れません。

参考


強制パスワードリセット

ワークスペースのオーナーと管理者はワークスペースのメンバー全員のパスワードをリセットすることができます。

セキュリティ意識の高いワークスペースでは定期的に実施しているのではないでしょうか。

ここで大事なのはオプションとして全員をサインアウトさせるか選べること、そして新しいパスワード設定方法やサインイン手順がメールで送られてくることです。

「出先でメールが受け取れなくて、サインイン方法が分からない」「強制パスワードリセットって何? いきなり閉め出されたんだけど」なんてことが起こらないよう管理者側で事前告知や周知を徹底すると共に、各メンバーも機能の存在くらいは知っておくと慌てずに済みます。

参考


アクセスログの確認方法を知る

いつ、どこで、どの端末からアクセスしたか分かります。

普段から怪しい動きがないか察知できるように、また携帯端末を落としてから慌てないように、ログの見方を確認しておきます。

参考


すべての端末からサインアウトする方法を知る

現在使用しているブラウザ以外の全てのセッションからサインアウトさせることができます。

一時的に借りた端末からサインアウトし忘れた時などに有用です。携帯端末を紛失した際には手元に端末がなくても、アプリやブラウザからサインアウトさせることができます。

参考


おわりに

管理者編として『Slackに誘った時に確認するセキュリティ周りの○つのこと』なども考えていますが、私のモチベーションが続くかどうか。

まあ管理者するならヘルプのどこに何が書かれているか把握しておくのが普通だと思うのでいらないですかね。どうなんでしょう。

この記事で少しでもSlackを安心して使えるようになれば幸いです。