SNSは害より益が多い

企業がSNSを安全に活用するための10カ条

2009/10/07

　新たなフィッシング攻撃がTwitterを襲い、一部のユーザーが知らないうちに機密データを悪質なハッカーに渡してしまう事件が起きている。この事件から、ソーシャルネットワーク（SNS）をどう利用すればいいのかと問う声も上がっている。多くの企業はこの種のサービスをサポートしたことを後から批判するかもしれない。

　SNS発の攻撃は現実の脅威だ。何らかの企業ポリシーや予防策を用意しないと、SNS経由で機密データが漏れてしまう可能性がある。このため、企業はセキュリティを守ると同時に、社員にSNSを利用する機会を与えるために適切な対策を取る必要がある。

　以下に企業の取るべき対策を挙げる。

1.企業としてのソーシャルメディアポリシーを確立する

　あらゆるSNS導入計画の最初の一歩はソーシャルメディアポリシーだ。どのような形で社員のSNSへのアクセスを認めるか。社員が就業時間中に投稿していいのはどんなことか。アクセスできるサービスに制限を設けるか。こうした疑問すべてに答える必要がある。はっきり規定されたポリシーがあれば社員が脱線することはなく、必要であれば、ルールが破られたときの手段も用意される。

2.SNSの利用を奨励する

　ルールを設ける必要はあるが、ソーシャルメディアのセキュリティを確保する上で特に重要なのは、利用を奨励することだ。確かにSNSへのアクセスを禁じれば、一見、セキュリティ問題の発生は抑えられるように見えるが、実はその逆だ。社員は企業の遮断措置を回避してSNSにアクセスする方法を見つけようとするだろう。適切な指導なしでだ。SNSの利用を奨励すれば、すべてが公明正大になるし、企業には使い方を指導する機会が与えられる。

3.トレーニングがカギ

　SNSの利用を奨励したら、次は社員をトレーニングしなくてはならない。IT管理者がベストプラクティスを調べて、やるべきこと、やってはいけないことを社員に指導する。第一歩として、「知らないリンクはクリックしない」ということを教えるべきだろう。SNSから送られたと称するフィッシングメールのリンクをクリックしないようあらためて教える機会にもなる。単純過ぎるように見えるが、この簡単な指針があれば、企業に影響を与えるSNS経由のセキュリティ問題の大半は取り除ける。

4.便利なツール

　企業がSNSの利用を解禁した場合に利用すべき便利なツールの1つがTinyURL Previewだ。TinyURLの短縮URLの真のリンク先を、実際にサイトに飛ぶ前に確認することができる。

　ほかのURL短縮サービスについても同様のツールを利用することを考えるべきだ。このようなシンプルなツールとトレーニングで、セキュリティ問題を大きく減らすことができる。

5.利用できるSNSを限定する

　ソーシャルメディアの使用を奨励している企業には、社員が使うSNSの数を限定するというのはピンと来ないかもしれないが、これは必要なことだ。社員がオープンソースのTwitter的サービス「Identi.ca」に友人向けのアップデートを投稿する必要はない。FriendFeedの競合であるFriendBinderを使う必要もない。シンプルに、Facebook、Twitter、MySpaceなど主要SNSだけに利用を限定しておくことだ。ほかのネットワークを使いたい社員は、自宅で使えばいい。こうしたポリシーを導入すれば、SNSを管理しやすくなる。

6.ITスタッフを教育する

　あらゆる企業にとって最重要事項の1つとなるのが、SNSに影響し得る問題を、ITスタッフがすべて把握できるようにすることだ。セキュリティ問題が起きたときでも、それを把握して社員にその影響を通知できるように、誰かが毎週、ある程度の時間を取って主要SNSに関するニュースを収集するべきだ。

7.コンピュータにパッチを当てる

　最近の調査で、ユーザーがソフトにパッチを当てるまでの時間は、OSにパッチを当てるまでの時間の2倍かかるという結果が示された。企業としては、これは許容してはいけない。OSにもソフトにも常にパッチを当てることで、TwitterやFacebookのようなサイトで起きたセキュリティ問題の影響をある程度抑えられる。

8.最良のプライバシー対策を共有する

　SNSユーザーの安全を強化する方法の1つは、プライバシー設定を変更することだ。例えばTwitterでは、ユーザーがスパムを送信するユーザーを遮断することができる。社員にこのオプションを周知しておけば、悪意あるユーザーが企業ネットワーク内の誰かを利用できる状況を減らす役に立つ。

9.社員とコミュニケーションする

　企業の対応で最悪なのは、社員がSNSに関して持っている疑問や問題を無視することだ。社員が上司やITスタッフに心配事を相談してきたときは、できるだけ迅速かつ効率的に対処するべきだ。社員の言うことに耳を傾けて対処すること。それで安全性が高まる。

10.SNSを恐れない

　セキュリティ問題は不安なものだが、企業がSNSを恐れるようになってはいけない。恐れる理由はない。セキュリティ問題があっても、SNSは企業にとって優れたマーケティングツールだ。それから社員が職場に満足すれば、友人にそのことを話してくれるだろう。いつかそこからメリットが得られるかもしれない。

　覚えておいてほしい。SNSは害よりも益が多いのだ。

原文へのリンク

（eWEEK Don Reisinger）

情報をお寄せください： tokuho@ml.itmedia.co.jp

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。