Notionに埋め込む画像には気をつけよう

記事タイトルとURLをコピーする

技術 1 課の水本です。

私はメモやノートに Notion を使っているのですが、先日、このようなツイートを見かけたので調べてみました。

※紹介したツイートの方も続いての投稿で注釈を入れていますが、パブリックというのは語弊があります。

TL;DR

  • Notion に埋め込んだオリジナル画像を確認すると、 S3 で URL が発行される
  • 上記は 24 時間有効
  • URL が外部に知られることは限りなくゼロだが、気をつけよう

Notion はストレージに Amazon S3 を使っている

上の通りなのですが、Notion は Amazon S3 をストレージに使用しています。

Notion は埋め込んだ画像を自由なサイズで表示出来るほか、右クリックして「View Original」を選択すると、オリジナル(本来の)ファイルを確認することができます。
オリジナルファイルを PC から消してしまったときには便利な機能ですが、実はこれが曲者です。

Notion でオリジナルファイルを確認した際の挙動と影響

Notion が提供するオリジナルファイルの URL は、Amazon S3 を利用した署名付き URL というものであり、これには有効期限があります。
パブリック(検索エンジンからヒットする)ではなく、且つ永続する URL でもない(時限 URL である)ことから、一見安全なように感じますが、 Notion ではその期限が 24 時間となっており、これはユーザーでは変更できません。

つまり、件のツイートの方も認識している通り、Notion にログインしていなくても、元の Notion ページを削除したとしても、一度 URL を発行してしまうと、 24 時間は見られる状態にあり、事実上ファイル投稿者のコントロールが及ばない範囲でアクセスできる状況が発生しうる仕様になっています。

実際に私の Notion でも確認をしてみましたが、URL にX-Amz-Expires=86400が含まれる為、しっかり 24 時間であることが確認できました。
24 時間の期限に関して感じ方は様々だと思いますが、 機密ファイルだろうが一度操作をしてしまうと、 24 時間待つしかないというのは、心穏やかではいられないかもしれませんね。

不安な方への Notion の使い方

ここまで不安を煽ったようで申し訳ないですが、オリジナルファイルを見られる(URLを発行できる)のはノートの編集権限を持つ人だけで、しかも時限 URL であるため、基本的に問題はないと思います。
もし、ご心配な方は以下のような感じで取り扱ったほうが良いのではと考えます。

  • 普段から機密事項の画像は載せない
    • 間違い操作は誰にでもあるので、銀行の第 2 暗証番号カードなどは載せない
  • 人に見せる場合は参照状態でノートを共有
    • 編集状態が無い人がオリジナルファイルのURL発行操作をすることはできません



・・・これを書きながら思ったんですが、Notionさん、せめて1時間にしませんかね?

以上です。
お読み頂きありがとうございました。

2023年4月5日 更新

どうやら上記の問題は解決したようです。

水本 正敏(執筆記事の一覧)

エンタープライズクラウド部 ソリューションアーキテクト1課

国内ITベンダーのカスタマーエンジニアからAWSに魅了されサーバーワークスへ。