ソーシャルメディア:企業のセキュリティベストプラクティス

2012/04/11

Facebook、Twitter、LinkedInをはじめとするソーシャルメディアは、21世紀の企業にとってコラボレーションやマーケティングの上で有益なツールですが、同時にさまざまなセキュリティ上の危険要因をもたらします。その例としては、機密情報の漏えい、会社の信用の失墜、マルウェア、またハッカーにソーシャルエンジニアリングの機会を与えたり、従業員による不適切な使用に起因して訴訟が起こるケースなどがあります。

テクノロジーやマーケティング分野で最先端を走り、また技術力のある人材を確保しようとするのであれば、企業にとってソーシャルメディアの利用は有効なプラットフォームになることでしょう。したがって、従業員教育や企業ポリシーの設定、および管理ツール等を使用するなど、先がけて課題に対応することが重要です。以下に、ソーシャルメディアにおける企業のセキュリティ ベストプラクティスの例を挙げます。

従業員教育

ソーシャルメディアのユーザーは、FacebookやTwitterを自己表現の手段とみなす傾向があり、勤務先の企業にとって脅威となる可能性があることを理解していないケースが多いようです。企業がポリシーやツールを導入しても、その背景にある根拠を従業員が理解しない限り、徹底するのは難しいものです。すなわち、前述にあげられたソーシャルメディアの危険性に関する従業員の教育は、非常に重要なのです。

会社の信用失墜とデータ漏えいは、企業にとって最もコントロールが困難な2大リスクといえます。従業員が会社の製品、顧客、または特定の地域の住民に関して発言をする場合、それがどんな内容であれ、勤務先の企業が表明する意見として受け取られる可能性があります。また、肩書きや組織内の役割といった個人のプロフィール情報や、会社の構想、出張日程、テクノロジー、経営に関する情報等を掲載すれば、ソーシャルエンジニアリングやフィッシング詐欺の材料として、ハッカーに使用されるかもしれません。さらに、ソーシャルメディアをいじめ、嫌がらせ、人種差別主義的な目的等のために不適切に使用し、勤務先の企業や他の従業員が訴訟の対象になることもあります。またユーザーは、こうしたサイトに投稿した内容が長期間、場合によっては永久に残ることも理解しておく必要があります。

Facebookに関しては、偽アカウントから送付される友達リクエストを承認しないように注意しましょう。NATOの欧州連合軍最高司令部司令官ジェームズ・スタブリディス(James Stavridis)米海軍大将になりすましたケースが典型的な例です。ハッカーたちはこのアカウントを使用し、ソーシャルエンジニアリング攻撃の準備として、何千件というユーザー写真、電話番号、電子メールアドレスを収集しました。こういったマスコミで報道されるソーシャルメディアの悪用事例については、定期的なセミナーやEメール等で注意を喚起することが必要です。

ポリシー

企業は、一般的なWebやソーシャルメディアの使用について、詳細な利用規定を確立しておく必要があります。これは、誰が何の目的でどのソーシャルメディアを使用することが許可されているか、サイト内で許可されない行為は何か、プロフィールの一部や企業機密など掲載不可な情報の定義、また従業員がサイト上で表明する意見に関する免責条項などですが、それぞれ明確に説明しておきましょう。またFacebookには特有のプライバシー問題があり、独自の管理方法を採っているので、個別のポリシーを制定するのもよいでしょう。さらに、ポリシーに違反した場合の処分についても明記しておく必要があります。

また、公共のソーシャルメディアに会社のユーザー名やパスワードを使用しないことを徹底し、Facebookのリンクをクリックしたり、アプリケーションをダウンロードする場合には用心するように注意を促す必要があります。必要であればFacebookからのダウンロードを禁止/ブロックすることもよいでしょう。一方、人事、マーケティング、営業など、ソーシャルメディアの利用がプラスとなる可能性が高い部署については、異なるポリシーを制定するのもよいでしょう。実践的で遵守しやすいポリシーを策定できるよう、必ず従業員の意見を聞いてください。

ツール

ソーシャルメディアの使用をモニター/管理するためにツールは不可欠ですが、教育やポリシーの代わりとなるものではありません。セキュリティツールやサービスを利用する方法はありますが、その効果はまちまちです。ツールとしては、ゲートウェイやエンドポイントのマルウェア対策ソリューション、Webの使用監視とフィルタリングのツール、ソーシャルメディアを念頭に置いたデータ漏えい防止ツールなどがあります。中にはスマートフォンのようなPC以外の機器にポリシーを適用できるツールもあります。

ソーシャルメディアを対象としたセキュリティ技術はまだ開発段階ですので、トレンドや開発の動向に注目しましょう。