「ソーシャルメディアセキュリティ」とは何か あらためて基本を振り返る:5大疑問をESETが解説
ソーシャルメディアの活用は、何が企業セキュリティのリスクになるのか。米メディアが提唱した「ソーシャルメディアデー」にちなみ、ESETがソーシャルメディアセキュリティ対策の基礎と基本をあらためて解説した。
スロバキアのセキュリティ企業 ESETは2017年6月30日(現地時間)、米国の技術メディア Mashableが“ソーシャルメディアの革命を祝う日”として提唱している「ソーシャルメディアデー」にちなみ、ソーシャルメディアの企業セキュリティとは何か、よく挙げられる「5つの疑問」を取り上げてあらためて解説した。以下、内容を抄訳する。
1:ソーシャルメディアは、本当にセキュリティの脅威なのか
ソーシャルメディアが引き起こすセキュリティの脅威は目新しいことではない。Cisco Systemsが2013年に発表した「2013 Cisco Annual Security Report」で、既に多数のユーザーがアクセスするサイト(ソーシャルメディアを含む)がもたらす情報セキュリティの大きな脅威を指摘していた。
明白な脅威の1つは、「個人情報と企業データの境界がぼやける可能性がある」こと。これは、ユーザーがソーシャルメディアのアカウントを私用と仕事用の両方で使っている場合に顕著に表れる。
このリスクは、多くの従業員に過小評価されている可能性がある。「自分のソーシャルメディアアカウントは、サイバー犯罪者の興味を引くような情報は一切公開していないから」と考えている従業員は多そうだ。それでも、従業員のソーシャルメディアアカウントが「企業ネットワークへの侵入の足掛かり」にされてしまうことが多々発生している。
2:では、ソーシャルメディアは弱点なのか
弱点になる可能性がある。従業員は、昨今のフィッシングメールの手口についての基礎的知識があり、会社としても注意を呼び掛けているかもしれない。しかしフィッシングメールとソーシャルメディアを組み合わせるなど、ユーザーの裏を付くような巧妙な手口で悪い結果につながってしまうこともあり得る。
サイバー犯罪者がある人のSNSアカウントを侵害できたとしたら、例えば、他のSNSユーザーをだまして「同僚だと思い込ませる」ことが可能だ。やり方次第で機密情報を入手することも容易だろう。
3:重大なデータ漏えいが発生していなければ、心配しなくてもよいのではないか
必ずしもそうではない。ソーシャルメディアでの発信は、それが個人的な発信だとしても、会社や組織としてのブランド、信頼性全体にも関わってくる重要な要素でもある。本人による無配慮な発信だけではなく、サイバー犯罪者に発信アカウントを侵害されると、会社として大きな打撃になりかねない。
例えば、2013年にサイバー犯罪者が飲食チェーン店 Burger KingのTwitterアカウントを乗っ取り、ライバル社であるMcDonaldのロゴや下品なコンテンツを表示したことがある。また、Facebook CEOであるマーク・ザッカーバーグ氏のような影響力のある著名人のソーシャルネットワークアカウントが侵害された事件もある。
4:では、これを改善するためにできることは何か
まず、「企業アカウントを保護するための厳しいソーシャルメディアポリシーを会社として策定すること」が良い出発点になる。併せて、広範なサイバーセキュリティ対策の一環として、「従業員に強力なパスワードの利用を求める」ことも有効だ。
この他に、「自社ブランドへの言及を監視する」「悪意あるソフトウェアの見つけ方のガイドを周知する」「2要素認証を適用する」「承認されたブランドのコンテンツのみをシェアするようにする」なども効果的な施策となるだろう。
5:ソーシャルメディアのセキュリティを確保するのは、雇用主の責任ではないか
企業は、ソーシャルメディアの潜在的な危険性についての従業員教育に最善を尽くさなければならない。しかしもちろん、従業員自身も注意を払う必要がある。
その対策は例えば、メールやメッセージ内のリンクについて、発信者がソーシャルネットワークサービス事業者や知人のものと思われる場合も含めて注意することが挙げられる。信頼できるサイトへのリンクであることを常に確認し、疑わしい場合はそのURLをブラウザに手入力して確認するといった対策を習慣付けるわけだ。この他に「自分のアカウントへのアクセス元デバイスを常に把握する」「新しいログイン発生時に通知を受けられるサービスが提供されているならば、必ず利用すること」も挙げられる。
そして、潜在的な機密情報もあるリスクを理解した上でソーシャルメディアを活用することである。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
SNSにおける情報公開範囲の設定確認を――IPAが呼び掛け
SNSやWebサービスの情報公開範囲の設定に起因する情報漏洩やトラブルが後を絶たない。情報処理推進機構(IPA)は2013年10月1日、インターネットサービスの利用時には、情報公開範囲の設定に注意すべきとする「今月の呼び掛け」を公表した。
驚異の読心術者のネタ元はSNS?!
今回は、利用範囲がますます広がるSNSの話題から、SNSの職場での利用の是非と、Facebookの偽アカウントに関する話題、そしてオンラインでの被害にまつわる保険の話を取り上げます。
なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み
セキュリティ関連のキーワード関する“素朴な疑問”を解消する本連載。第8回では、「位置情報」をテーマに、スマホアプリなどが端末の位置情報を取得する仕組みを解説します。
657万1727件のツイートをセキュリティ視点で分析してみて分かったこと
筆者が独自に収集した統計データを基に、サイバーワールドの裏側を探る本連載。今回は657万1727件のツイートを分析してみました。