SNSがはらむ危険にどう対応すればよいだろうか。企業がSNSを利用する場合、あるいは企業システムやネットワークを経由してのSNS利用なら、ITツールを使った対策が可能だ。
例えば、外部SNSの強制的な利用禁止(DNS設定やL7ファイアウォールによるブロック)やDLPツールなどによる機密情報漏えい防止対策、投稿の上長承認機能がある組織内SNS運用専用ツールの導入などが考えられる。
しかし、本当に問題なのは従業員がプライベートに利用するSNSだ。プライベートに干渉して会社の利用ルールを強制することはできないし、監視することも不可能だ。最終的には従業員が、利用法によっては危険があること、また、自分自身や所属組織、関係者に関する情報を保護することの意義を理解していなければならない。
会社としてまず取り組むべきことは、安全なSNSの利用法、つまりあの手この手で擦り寄り、攻撃のための材料集めを行う相手にしっかりと対応し、危険を避け防衛するための知識を従業員に浸透させることだ。システム運用管理担当者から勉強を始め、社内に波及させることが肝心だ。
なお、SNSでの情報発信やマーケティングへの利用は多くの企業が着手している。企業活動にはSNS利用ポリシーを明文化したガイドラインが必要になるはずだ。その策定と並行して、従業員(自分自身も含めて)を啓発するセミナーや勉強会を開催したり、Eラーニングを導入したりsると効果的だ。
プロフィールで公開する情報、誰でもが目にする情報は必要最低限にするのが第一歩だ。公開情報から分かる「友達」リストは偽アカウントづくりなどに利用され、標的型攻撃や詐欺のターゲットの絞り込みに利用されやすい。
従来の攻撃者は、標的と定めた対象企業の情報収集にスパイ映画もどきの手口を使い、事前準備に多くの時間と手間をかけていた。しかし今ではSNSで攻撃しやすい対象を効率的に探し出し、短時間で周辺の情報をあされるようになったわけだ。
悪意のない人に見られることを前提に公開する個人情報は、「自分が攻撃者ならどう利用できるか」を想像しながら見直すとよい。住所や勤務先を公開しなくても、位置情報から自宅や勤務先を割り出せるし、「友達」リストから交友範囲や職業なども推測できる。投稿やその写真の位置情報を相手は地図上にプロットして移動状況や所在場所、不在の確認などができる。
SNSは各種情報をデフォルトで全員公開にするものがあり、また若い層を中心に公開範囲をわざと無制限にする場合も少なくない。不用意な公開が及ぼす危険を、できるだけ機会を作って説明することが必要だ。
また、情報を仲間内でクローズにしたつもりで、実際は想定外の人に閲覧可能になっている場合がある。例えば、Facebookなら自分の情報の公開範囲を「友達」や「友達の友達」に限れるが、NPO日本ネットワークセキュリティ協会(JNSA)が2012年に公開した「SNSの安全な歩き方」によると、友達の数は平均130人、「友達」の半数が重複するとすれば「友達の友達」は8500人にものぼる。1人が把握し、対応できる相手は150人程度といわれるので、「友達限定」なら管理可能かもしれないが、「友達の友達」では現実的に管理不可能だ。
【対策1】
例えば、Facebookでは基本設定で各種情報の公開範囲を決められる。他のSNSであっても設定できる場合は情報交換の内容や目的をよく考えて公開範囲を適切に設定することが重要だ。また、投稿や写真にも公開範囲の設定が可能なので、デフォルトで公開になっている設定を変更することを考えるべきだろう。個人情報や仕事関連情報が交換される場合には、非公開または秘密のメンバー限定グループ内で行うようにするとよい。
【対策2】
これもFacebookの機能だが、いつも利用するWebブラウザ以外が利用された場合に、アカウント所有者にメールで通知するサービスを利用するとよい。自分のアカウントでの不正アクセスに気付ける。また、「mTAN(mobile Transaction Authentication Numbers)」という認証技術も利用可能だ。これはログイン操作の際、登録された携帯端末にSMSで6桁のコードを送信し、20分以内にユーザーがコードを入力しないと新規端末からのログインができないようにする仕組みだ。
Facebookには、写真への「タグ付け」機能がある。相手が写真に写った自分にタグ付けすると、それが自分のタイムラインへのリンクになる。その写真を見た人は誰でも自分のタイムラインを閲覧できることになるし、一緒に写っている人(親しい人の可能性が高い)にもタグ付けしてあれば、その人のタイムラインも参照可能になる。位置情報も利用すると、交友関係や特定時間の所在が把握されることになる。秘密にしておきたい会合が、この機能でバレてしまうことがある。
【対策1】
写真へのタグ付け機能の利用範囲も設定で制限可能だ。「タイムラインとタグ付け設定」で設定を変更するとよい(図2)。
英語版Facebookで備えられた「グラフ検索」機能は、ユーザーの公開情報を簡単に検索し、特定属性を持つ人を探し出せる機能だ。この場合の「グラフ」は関係性、関連性のことを指す。
図3のように属性のリストから例えば「企業名」を指定し、「部門管理者」「役員」などの職種を指定すれば、該当する人が写真入りでリストアップできる。また、特定の場所やテーマに関連する投稿写真を一覧したり、自分や「友達」がシェアしている写真の一覧も可能だ。
優れた便利機能ではあるが、標的型攻撃や詐欺、ストーキングなどのための格好の材料集めの窓口として悪用されることも考えなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。