ソーシャルメディア:企業のセキュリティベストプラクティス

Facebook、Twitter、LinkedInをはじめとするソーシャルメディアは、21世紀の企業にとってコラボレーションやマーケティングの上で有益なツールですが、同時にさまざまなセキュリティ上の危険要因をもたらします。その例としては、機密情報の漏えい、会社の信用の失墜、マルウェア、またハッカーにソーシャルエンジニアリングの機会を与えたり、従業員による不適切な使用に起因して訴訟が起こるケースなどがあります。

テクノロジーやマーケティング分野で最先端を走り、また技術力のある人材を確保しようとするのであれば、企業にとってソーシャルメディアの利用は有効なプラットフォームになることでしょう。したがって、従業員教育や企業ポリシーの設定、および管理ツール等を使用するなど、先がけて課題に対応することが重要です。以下に、ソーシャルメディアにおける企業のセキュリティ ベストプラクティスの例を挙げます。

従業員教育

ソーシャルメディアのユーザーは、FacebookやTwitterを自己表現の手段とみなす傾向があり、勤務先の企業にとって脅威となる可能性があることを理解していないケースが多いようです。企業がポリシーやツールを導入しても、その背景にある根拠を従業員が理解しない限り、徹底するのは難しいものです。すなわち、前述にあげられたソーシャルメディアの危険性に関する従業員の教育は、非常に重要なのです。

会社の信用失墜とデータ漏えいは、企業にとって最もコントロールが困難な2大リスクといえます。従業員が会社の製品、顧客、または特定の地域の住民に関して発言をする場合、それがどんな内容であれ、勤務先の企業が表明する意見として受け取られる可能性があります。また、肩書きや組織内の役割といった個人のプロフィール情報や、会社の構想、出張日程、テクノロジー、経営に関する情報等を掲載すれば、ソーシャルエンジニアリングやフィッシング詐欺の材料として、ハッカーに使用されるかもしれません。さらに、ソーシャルメディアをいじめ、嫌がらせ、人種差別主義的な目的等のために不適切に使用し、勤務先の企業や他の従業員が訴訟の対象になることもあります。またユーザーは、こうしたサイトに投稿した内容が長期間、場合によっては永久に残ることも理解しておく必要があります。

Facebookに関しては、偽アカウントから送付される友達リクエストを承認しないように注意しましょう。NATOの欧州連合軍最高司令部司令官ジェームズ・スタブリディス(James Stavridis)米海軍大将になりすましたケースが典型的な例です。ハッカーたちはこのアカウントを使用し、ソーシャルエンジニアリング攻撃の準備として、何千件というユーザー写真、電話番号、電子メールアドレスを収集しました。こういったマスコミで報道されるソーシャルメディアの悪用事例については、定期的なセミナーやEメール等で注意を喚起することが必要です。

ポリシー

企業は、一般的なWebやソーシャルメディアの使用について、詳細な利用規定を確立しておく必要があります。これは、誰が何の目的でどのソーシャルメディアを使用することが許可されているか、サイト内で許可されない行為は何か、プロフィールの一部や企業機密など掲載不可な情報の定義、また従業員がサイト上で表明する意見に関する免責条項などですが、それぞれ明確に説明しておきましょう。またFacebookには特有のプライバシー問題があり、独自の管理方法を採っているので、個別のポリシーを制定するのもよいでしょう。さらに、ポリシーに違反した場合の処分についても明記しておく必要があります。

また、公共のソーシャルメディアに会社のユーザー名やパスワードを使用しないことを徹底し、Facebookのリンクをクリックしたり、アプリケーションをダウンロードする場合には用心するように注意を促す必要があります。必要であればFacebookからのダウンロードを禁止/ブロックすることもよいでしょう。一方、人事、マーケティング、営業など、ソーシャルメディアの利用がプラスとなる可能性が高い部署については、異なるポリシーを制定するのもよいでしょう。実践的で遵守しやすいポリシーを策定できるよう、必ず従業員の意見を聞いてください。

ツール

ソーシャルメディアの使用をモニター/管理するためにツールは不可欠ですが、教育やポリシーの代わりとなるものではありません。セキュリティツールやサービスを利用する方法はありますが、その効果はまちまちです。ツールとしては、ゲートウェイやエンドポイントのマルウェア対策ソリューション、Webの使用監視とフィルタリングのツール、ソーシャルメディアを念頭に置いたデータ漏えい防止ツールなどがあります。中にはスマートフォンのようなPC以外の機器にポリシーを適用できるツールもあります。

ソーシャルメディアを対象としたセキュリティ技術はまだ開発段階ですので、トレンドや開発の動向に注目しましょう。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速