かつてインスタントメッセージは消費者向けテクノロジーでした。その消費者向け玩具は企業ネットワークに浸透し、最終的には単に受け入れられるだけでなく、貴重なツールとして活用されるようになりました。ソーシャルネットワーキングも同じ道を歩んでいますが、その過程ではセキュリティ面でまだ成長痛を経験する必要があります。
nCircle は、企業内のソーシャル メディアに関して 257 人の情報セキュリティ専門家を対象に調査を実施し、次の結果を得ました。
• 59%がソーシャルメディアポリシーを維持している
• 回答者の組織の39%がソーシャルメディアの使用を禁止している
• 回答者の46%は、従業員がソーシャルメディアポリシーを遵守しているかどうか不明でした。
「回答者の約40%が従業員のソーシャルメディア利用を禁止していますが、この種のポリシーはソーシャルメディアに伴う深刻なセキュリティリスクに対する反射的な対応であり、必ずしも効果的ではありません」と、nCircleのセキュリティオペレーションディレクター、アンドリュー・ストームズ氏は述べています。「ソーシャルメディアに関する真のセキュリティ上の懸念は、従業員がソーシャルネットワーキングを通じて何を漏らしているか、そしてそれが雇用主のセキュリティにどのような影響を与えるかということです。」
調査対象者の約60%がソーシャルメディアポリシーを策定していることは、ソーシャルネットワーキングが既に企業組織に深く浸透していることを示しています。しかし、注意を払っていないと回答した46%の人々にとっては、最近のWebrootの調査結果はあまり安心材料にならないかもしれません。
Webroot によるソーシャル ネットワーキングの実践に関する 2 回目の年次調査では、1,100 人のソーシャル ネットワーキング ユーザーから情報を収集し、次のような結果が判明しました。
• 61%が誕生日を記載
• 52%が出身地を挙げている
• 17% が携帯電話を利用可能にしています。
• 4 分の 3 以上 (77%) が、自分の写真アルバムにアクセスできるユーザーを制限していません。
• 81% の企業は、ユーザーが訪問した場所を報告する位置情報ベースのツールによって生成された更新情報を含め、最近のアクティビティを誰が閲覧できるかについて制限を設けていません。
2つの調査を合わせると、46%の回答者がプライバシーとセキュリティに関する懸念を抱いていることがわかります。nCircleの調査では、41%がソーシャルメディアポリシーを策定しておらず、46%が策定済みのソーシャルメディアポリシーの遵守状況を監視していません。つまり、従業員がソーシャルネットワークで共有する個人情報によって、企業ネットワークの87%がリスクにさらされていることになります。
これらの情報は、データ侵害やセキュリティ侵害に直接つながるわけではありませんが、攻撃者がパズルを組み立て始めるきっかけとなる可能性があります。生年月日、出身地、携帯電話番号といった機密情報と名前を組み合わせることで、攻撃者はソーシャルエンジニアリングを駆使して組織内に侵入し、他のピースを集めることが可能になります。
ソーシャルネットワーキングの人気とその共有という側面が、攻撃者に見過ごされているとは思わないでください。「ソーシャルネットワークに集まる人々の数と、サイバー犯罪者が共有している個人データを狙って仕掛ける、ますます巧妙化する新たなマルウェア攻撃の間で、まさに最悪の状況が生まれています」と、ウェブルートの脅威調査ディレクター、ジェフ・ホーンは述べています。「例えば、当社のチームは、Koobfaceの100種類以上の亜種を確認しています。Koobfaceは、ユーザーを騙して不適切なリンクをクリックさせ、PCに感染させ、偽のウイルス対策製品を購入するためにクレジットカード番号を入力させるなど、様々な不正行為を行うことで知られています。」
nCircleの調査結果に関するプレスリリースは、「ストームズ社は、従業員がどのような活動が企業のセキュリティに影響を与えるか、与えないかをよりよく理解できるよう、雇用主がソーシャルメディアのリスクについて継続的かつ詳細なコミュニケーションを行うことを推奨しています」と締めくくっています。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。 @Tony_BradleyPCWとしてツイートしています。Facebookページをフォローするか、[email protected]までメールでご連絡ください。
