Symantec Security Response Weblog
Social Media: Can’t Live With it, Can’t Live Without It.」」より
July 1st,2010 Posted by Kevin Haley

ソーシャルメディアはセキュリティ上の脅威――職場での利用ポリシーは不十分

 IT管理業務を行ううえで、「ソーシャルメディアはセキュリティにとって大きな脅威」という意識は数年前から全く変化していない。変わったのは、ソーシャルメディアが受け入れられ、アクセスを禁止する職場が少なくなってきたことだ。我々が行った調査によると、職場でソーシャルメディアの利用を禁止されていたのは20人中わずか1人にとどまった。

 アクセスを禁ずる企業が少ない理由の一つとして、マーケティング活動の一環としてソーシャルメディア活用に飛びついている現状が挙げられる。企業はミニブログ「Twitter」のアカウントを取得し、ソーシャルネットワーキングサービス(SNS)「Facebook」のファンページを作り、オンラインコミュニティで存在感をアピールし始めた。我々の調査では、「ソーシャルメディアで目立てば事業によい影響がある」との結果が得られた。例えば、「ソーシャルメディア活用で企業の印象がよくなった」という回答が52%あった。また従業員の立場からすると、32%が「職場からのソーシャルメディア使用を禁止している企業で働きたくない」と答えた。これらをまとめると、95%の人が使用を禁止されていなかった。

 職場でソーシャルメディアにアクセスする理由を尋ねたところ、回答者の46%が個人的な用途で使っていた。28%が1日3回以上アクセスしており、「トイレ休憩よりソーシャルメディア利用を優先する」という回答もあった。勤め先のソーシャルメディア利用規則をごまかしている人は13%いた(余談だが、「5分したら次の会議が始まるのでトイレに行っておく必要があるものの、その日はまだ1回もFacebookにアクセスしていない。あなたはどうしますか」と質問してみた。すると2%が「足を組んで我慢してFacebookにアクセスする」、11%が「携帯電話機をトイレに持ち込む」と答えた)。

 ソーシャルメディアを取り巻くこのような環境がIT管理にどの程度の悪影響を及ぼしているかについては、具体的な数字を調べなかった。ただし、懸念については計測してみた。2年前に行ったITセキュリティ専門家を対象とした調査では、回答者の77%が「職場でソーシャルメディアを使うエンドユーザーは危険な存在」と心配していた。2010年2月になってもこの状況は変わっておらず、ソーシャルメディアは大きな悩みのままだ。2010年度の調査「2010 State of Enterprise Security Report」だと、企業の最高情報責任者(CIO)および最高情報セキュリティ責任者(CISO)の84%が「ソーシャルメディアはセキュリティにとって深刻な脅威」と見なしていた。

 確かに心配だらけだ。というのは、特定個人を標的とするソーシャルエンジニアリング攻撃に悪用されかねない個人情報が、ソーシャルメディアでは攻撃者の手に落ちやすい環境に置かれているからだ。攻撃者がソーシャルメディアでユーザーの活動を見張っていれば、友人や趣味、場所(勤務地や旅行先などの情報)などの個人情報を知ることができる。それどころか、もっと重要な情報が誤って、または意識的に漏れてしまう。当然、ソーシャルメディアはスパムやマルウエアの標的になりやすい。無差別攻撃だろうと特定個人を狙った攻撃だろうと関係なく、周囲が友達ばかりだとリンクを問題ないと思って安易にクリックしてしまう。

 次に、IT管理者側がとってきた対策を見てみよう。ソーシャルメディアのアクセスを禁止している割合は、2年前28%あったが今や5%に過ぎない。従業員の利用状況とソーシャルメディアの業務利用が始まったことを考えれば、禁止率の低下は当たり前だ。ソーシャルメディア利用禁止という対策は、大多数の企業で機能しなくなってきている。

 2年前の調査結果から、最も興味深い数字を紹介しよう。回答者の76%は「職場にソーシャルメディア利用ポリシーが存在しない」と答え、そのうち80%は「検討もされていない」とした。その後、ソーシャルメディアは懸念が高まると同時に利用しやすくなったため、企業がポリシーを設けるようになったと思うだろう。ところが、そうした企業は多くない。最近の調査では、「職場にソーシャルメディア利用ポリシーが存在しない」という回答の割合が42%だった。企業も心配はしているのだろうが、ソーシャルメディア利用時に守るべき安全な習慣を、ユーザーに全く教育/案内していない。このままだと将来は暗い。ソーシャルメディアの利用を止めるわけにはいかないが、リスクの解消は可能だ。

 企業は、それぞれの必要性やリスクに応じてソーシャルメディア利用ガイドラインや細かな従業員向けポリシーを作ることで、リスクを軽減できる。ITポリシーを作ったり適用を自動化したりするための技術も存在している。しかし実際に成果を得るには、ポリシーを強制的に適用し、継続的に順守状況を監視していくことだ。

 ソーシャルメディアは普及していくし、その影響を避けることは不可能だ。そして、参加することで業務にメリットをもたらす場面は多い。ただし、ソーシャルの合法的かつ生産的な活用と、ITセキュリティ確保のバランスとる必要がある。このバランスは、利用ポリシーと技術、従業員教育を組み合わせでとることができる。

Copyrights (C) 2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆この記事は、シマンテックの許可を得て、米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は、「Social Media: Can’t Live With it, Can’t Live Without It.」でお読みいただけます。