驚異の読心術者のネタ元はSNS?!:セキュリティブログクリップ(3)
今回は、利用範囲がますます広がるSNSの話題から、SNSの職場での利用の是非と、Facebookの偽アカウントに関する話題、そしてオンラインでの被害にまつわる保険の話を取り上げます。
いまやFacebookやTwitterといったSNSは、単なる個人的なコミュニケーションツールの域を超え、ビジネスツールとしても使われるようになりました。今回は、利用範囲がますます広がるSNSの話題から、SNSの職場での利用の是非と、Facebookの偽アカウントに関する話題、そしてオンラインでの被害にまつわる保険の話を取り上げたいと思います。
職場でのSNS利用はアリ? ナシ?
職場でのSNSの利用については、企業によって対応がさまざまです。最新技術やネットサービスに対して柔軟な態度を示していると思われるIT関連企業でさえ、いまだ一部の職場ではSNSを私的な目的で使うことが禁止されていたり、禁止されていなくても利用しづらい雰囲気があるという話を聞きます。
その一方で、ビジネスの現場ではコンシューマライゼーションが進んでおり、SNSもビジネスプラットフォームの一部となりつつあります。こうした中、企業は社員のSNSの職場での利用をどう考えるべきなのでしょうか。
NakedSecurityブログでは、IT管理部門が職場でのSNSの利用についてどう考えるべきか、ヒントを与えています。
同ブログでは、SNSを主流のビジネスツールとしてとらえており、「企業はSNSを安全に使用できる条件を決めなければ取り残されてしまう。いまや企業でのSNSの利用は、禁止するのではなく、特定の条件下で利用可能とすべき時代だ」と主張しています。
そこで重要となるのはユーザーの教育です。NakedSecurityが提案する教育方法をここで紹介したいと思います。
まずはパスワードについて。見破られにくく、かつ本人が覚えやすい強固なパスワードを作ること、他人にパスワードを教えないことはもちろん、サイトごとに異なるパスワードを使うことも重要だとNakedSecurityは述べています。
次に、詐欺やクリックジャック、偽アプリの存在を周知させること。単にサイトに誘導しようとするものや、個人情報の搾取を目的とする「無料ギフト」などに釣られた結果、何が起こるかも教育しておく必要があります。
ネット上での情報共有についても注意が必要です。SNS上でシェアしたり書き込んだりする情報の公開範囲を適切に設定するよう教育することが、企業データを守ることにもつながるとNakedSecurityは指摘しています。
また、SNSから提供されるアクセス情報などに関するメールをしっかり確認することも大切です。こうしたメールから、アカウントの不正利用を発見することもあるためです。
さらに、企業側も社員のインターネット利用状況を定期的にチェックすることをNakedSecurityは推奨しています。企業が個人の利用状況をチェックすることでSNSの不適切な利用を阻止できることはもちろん、社員も自分の利用状況が見られているという事実があるだけで、会社でゲームをしようとは思わないかもしれないですからね。
こうした施策を実施した上で、SNSに対する制限をなくしてもいいのではないかとNakedSecurityは提案しています。実際、社員がSNSを利用して会社のイメージアップに努めたり、顧客ベースを拡大しようとしたりするケースもあるのですから。
偽アカウントに頭を抱えるFacebook
いまや世界最大のSNSといわれるようになったFacebookの話題は尽きません。NakedSecurityは、7月下旬にFacebookが米証券取引委員会に提出した書類に記載された内容を取り上げ、「Facebookには8300万以上の偽アカウントが存在する」としています。
この記事によると、Facebookに登録された9億5500万アカウントのうち、8.7%に当たる8300万以上のアカウントが偽アカウントとのこと。「偽」という言葉が正しいかどうか分かりませんが、こうしたアカウントの大半は、1個人が2つ以上のアカウントを持っているケースで、全ユーザーの4.8%に当たるとのことです。
1個人が2つ以上のアカウントを持つ理由はさまざまで、「ログイン情報を忘れてしまった」というケースや、「仕事用と個人用アカウントを使い分けている」といった理由が考えられます。確かに、権威のある仕事に就いている人が、酔っぱらった姿の写真にタグ付けされてしまうと困ることもあるでしょうから、アカウントを使い分けたい気持ちも分からないではないですね。こうした使い方は、Facebookの規約には反しているものの、ユーザーにとってはそれほど大きな問題ではありません。
次に多いのが、ペットや会社など、人間でないアカウントが存在するケース。2300万アカウントがこれに当たり、全体の2.4%を占めるそうです。こうしたアカウントは、Facebookページを作るようにと同社は呼び掛けています。
そして、全体の1.5%を占める1400万アカウントが、悪意のあるリンクやコンテンツ、スパムなどを送るための不正アカウントです。こうしたアカウントは他のユーザーに被害をもたらす恐れがあり、Facebookにとっても頭の痛い問題です。また、NakedSecurityでは、「広告主は、広告を出す以上偽アカウントではなく本物のユーザーからアクセスしてもらいたいと考えている。偽アカウントが増えると広告主が問題視する可能性もある」と指摘しています。
あなたのアカウントは安全ですか?
ところで、YouTubeで「Amazing mind reader reveals his 'gift'(驚異的な読心術者がその'能力'を披露)」というビデオが話題になっているのをご存じでしょうか。
他人の心を読む力を持つ人物、Daveが、ランダムに選ばれた人たちの秘密を暴いていくというビデオです。Daveは、目の前に座った人の背中に入れたタトゥー、出身地、親友の名前、複数の彼氏がいるという事実、さらには銀行口座の情報やどれだけのお金を使ったかまで、次々と暴いていきます。そのカラクリは……、実はDaveの言い当てた情報はすべてオンラインで得た情報だったというわけです。
このビデオは、公共広告としてベルギーで作られました。ネット上での書き込みや買い物、オンラインバンキングなどの情報から生活のすべてを暴かれる可能性があることを示し、慎重になるよう呼び掛けたものです。確かにこのビデオを見ると、オンラインバンキングでのパスワード管理や、SNSでの情報公開について見直す必然性を自覚しますよね。
一方、慎重になり過ぎるあまり、セキュリティ上の理由でFacebookなどのSNSに偽名で登録している人もいます。そんな中、Facebookでは一部のユーザーに対し、友人の名前が本名であるかどうか報告するよう呼び掛けていたようです。
NakedSecurityがFacebookに問い合わせたところ、この調査は限定的なもので、すでに終了しているとのことでした。調査の期間や規模については明らかになっていません。
Facebookはこの調査について、「ユーザーがどのようにわれわれのサービスを使っているのか調べ、よりよい製品やシステムを提供するための調査だった。ユーザーのアカウントそのものに影響を与えるものではない」としています。つまり、Facebookは本名を使うことが原則となっていますが、この調査によって報告された偽名ユーザーのアカウントを停止することは、いまのところはないようです。
ネット上で自分の正しい名前を使い情報を公開することと、その安全性についての線引きは、なかなか難しい問題のようですね。
ネットでの名誉毀損に保険金
オンライン上の情報管理についてもう1つ。英国では、オンラインでのなりすまし被害や荒らし、アカウントのハイジャックなどで名誉を傷つけられたときのために掛ける保険が登場したそうです。
この保険は、情報保護サービス企業のALLOWが、同社サービスのユーザーに対して提供開始したものです。保険料は月額3.99ポンド。10月初旬のレート(1ポンド=約126円)で換算すると日本円で約500円程度です。
保険でカバーされるのは、IDの盗難やアカウントのハイジャックなどで、実際に被害にあった場合、状況を回復するためのコストとして最大1万ポンド(約126万円)、名誉毀損で受けるダメージに対して最大3500ポンド(約44万1000円)が支払われます。
NakedSecurityは、英国である女性が被ったオンライン上での荒らし被害の例を挙げています。彼女は偽のFacebookアカウントまで作成され、ドラッグの売人や売春婦に仕立て上げられてしまったのです。このときにはその加害者を暴くため、無料ボランティアの弁護団が動いたそうですが、実際にはこうした弁護団への費用は5000ポンド(約63万円)に上るとの試算もあるそうです。ALLOWの提供する保険は、こうした費用をカバーするためのものと言えそうです。
ただし、オンラインで被った被害に対する保険は、これが初めてではありません。NakedSecurityでは、このような保険は企業向けにはすでに数多く存在するとしています。企業向けの保険は、データ漏えいに関連する損害をカバーするもので、100万ドル(1ドル=約78円の場合で約78万円)の保険金への一般的な掛け金は最低1500ドル(約11万7000円)程度とのことです。
一般的な損害賠償では、このような分野はカバーされません。例えば、ソニーがPlayStation Networkでの個人情報漏えい問題に直面した際、同社は契約している保険会社にこの損害の費用をカバーしてもらおうとしましたが、受け入れられませんでした。
NakedSecurityでは、企業がデータ漏えい事件に巻き込まれた際にはさまざまな費用が発生するため、不測の事態に備えて保険の加入を検討してもよいのではないかとしています。発生する可能性のある費用の例としてNakedSecurityでは、訴訟関連(罰金なども含む)費用や、影響のあったユーザーへの告知費用および不正取引に結びつかないよう監視するための費用、セキュリティコンサルタントへの費用、システムやデータの復旧費、時間や機会の損失などを挙げています。
では、個人向けの保険は必要なのでしょうか。同ブログでは、「荒らしやハッカーからSNSアカウントを守るために保険を掛けますか?」という読者投票欄を設けていますが、10月1日現在、Yesと投票した人は約2割程度にすぎません。ブログの筆者自身も「保険を掛けるかどうか分からないが、安価なサービスなので、米国でも利用可能となれば取りあえずは検討してみようと思う」と述べるにとどまっています。
Copyright © ITmedia, Inc. All Rights Reserved.