ソーシャルメディアの活用は、何が企業セキュリティのリスクになるのか。米メディアが提唱した「ソーシャルメディアデー」にちなみ、ESETがソーシャルメディアセキュリティ対策の基礎と基本をあらためて解説した。
スロバキアのセキュリティ企業 ESETは2017年6月30日(現地時間)、米国の技術メディア Mashableが“ソーシャルメディアの革命を祝う日”として提唱している「ソーシャルメディアデー」にちなみ、ソーシャルメディアの企業セキュリティとは何か、よく挙げられる「5つの疑問」を取り上げてあらためて解説した。以下、内容を抄訳する。
ソーシャルメディアが引き起こすセキュリティの脅威は目新しいことではない。Cisco Systemsが2013年に発表した「2013 Cisco Annual Security Report」で、既に多数のユーザーがアクセスするサイト(ソーシャルメディアを含む)がもたらす情報セキュリティの大きな脅威を指摘していた。
明白な脅威の1つは、「個人情報と企業データの境界がぼやける可能性がある」こと。これは、ユーザーがソーシャルメディアのアカウントを私用と仕事用の両方で使っている場合に顕著に表れる。
このリスクは、多くの従業員に過小評価されている可能性がある。「自分のソーシャルメディアアカウントは、サイバー犯罪者の興味を引くような情報は一切公開していないから」と考えている従業員は多そうだ。それでも、従業員のソーシャルメディアアカウントが「企業ネットワークへの侵入の足掛かり」にされてしまうことが多々発生している。
弱点になる可能性がある。従業員は、昨今のフィッシングメールの手口についての基礎的知識があり、会社としても注意を呼び掛けているかもしれない。しかしフィッシングメールとソーシャルメディアを組み合わせるなど、ユーザーの裏を付くような巧妙な手口で悪い結果につながってしまうこともあり得る。
サイバー犯罪者がある人のSNSアカウントを侵害できたとしたら、例えば、他のSNSユーザーをだまして「同僚だと思い込ませる」ことが可能だ。やり方次第で機密情報を入手することも容易だろう。
必ずしもそうではない。ソーシャルメディアでの発信は、それが個人的な発信だとしても、会社や組織としてのブランド、信頼性全体にも関わってくる重要な要素でもある。本人による無配慮な発信だけではなく、サイバー犯罪者に発信アカウントを侵害されると、会社として大きな打撃になりかねない。
例えば、2013年にサイバー犯罪者が飲食チェーン店 Burger KingのTwitterアカウントを乗っ取り、ライバル社であるMcDonaldのロゴや下品なコンテンツを表示したことがある。また、Facebook CEOであるマーク・ザッカーバーグ氏のような影響力のある著名人のソーシャルネットワークアカウントが侵害された事件もある。
まず、「企業アカウントを保護するための厳しいソーシャルメディアポリシーを会社として策定すること」が良い出発点になる。併せて、広範なサイバーセキュリティ対策の一環として、「従業員に強力なパスワードの利用を求める」ことも有効だ。
この他に、「自社ブランドへの言及を監視する」「悪意あるソフトウェアの見つけ方のガイドを周知する」「2要素認証を適用する」「承認されたブランドのコンテンツのみをシェアするようにする」なども効果的な施策となるだろう。
企業は、ソーシャルメディアの潜在的な危険性についての従業員教育に最善を尽くさなければならない。しかしもちろん、従業員自身も注意を払う必要がある。
その対策は例えば、メールやメッセージ内のリンクについて、発信者がソーシャルネットワークサービス事業者や知人のものと思われる場合も含めて注意することが挙げられる。信頼できるサイトへのリンクであることを常に確認し、疑わしい場合はそのURLをブラウザに手入力して確認するといった対策を習慣付けるわけだ。この他に「自分のアカウントへのアクセス元デバイスを常に把握する」「新しいログイン発生時に通知を受けられるサービスが提供されているならば、必ず利用すること」も挙げられる。
そして、潜在的な機密情報もあるリスクを理解した上でソーシャルメディアを活用することである。
Copyright © ITmedia, Inc. All Rights Reserved.