リスク・フォーカスレポート
1.ソーシャルメディアの浸透
Facebook、Twitter、LINEに代表されるソーシャルメディアは、様々な形で浸透を見せている。Facebookは国内の利用者数はおよそ2100万人、Twitterは1500万人、LINEに至っては4700万人といった数字が報道されており、その勢いはまだまだ衰えていない。
口コミや”お気に入り”の紹介機能により購買促進を図る「ソーシャルコマースサービス」と呼ばれる商品販売サイトや、放送中にソーシャルメディア上の発言を紹介するテレビ番組の増加など、インターネット上での個人の発言が様々な形で伝播・活用されるようになってきている。
一方、ソーシャルメディアの浸透により、企業は、新たなリスクにも晒されている。従業員によるプレスリリース前のフライング投稿、アルバイト店員による無分別な行為の投稿、従業員によるソーシャルメディア上での情報漏えい等、ソーシャルメディア浸透の裏で、既にこれまでにも様々なトラブルが発生しているのが現状だ。
なかには関係のない第三者が企業名と役職を勝手に名乗る「なりすまし」を行ない、そこで騒ぎを起こすという、”巻き込まれ型”と言われる、いわば貰い事故に近いような事件も起きている。
【事故・トラブル事例】
- 会社役員になりすました第三者が、震災対応に関して著名人への批判的発言を投稿。役員の所属企業に批判や問い合わせが集中。後になりすましが判明して鎮火。
- 従業員が、来店したスポーツ選手とその夫人をTwitterで中傷。勤務先が暴かれ炎上。企業からの謝罪で鎮火。
- 自治体の公式キャラクターが発した戦争関連Tweetをきっかけに炎上。それまでもきわどい発言で小規模の炎上を繰り返しながらフォロアーを獲得していたが、抗議は収まることなく、最終的にはアカウントの停止に追い込まれ、当該自治体が謝罪。
- 同僚が医者の処方が必要な睡眠薬を大量購入し、それを仲間内で遊びに使っているとTweet。Twitterのプロフィールに本名を記載しており、名前からFacebookで勤務先が割り出される。企業は謝罪と弁明のリリースを発表。
2.ソーシャルメディア上のリスクの特性
このように、ソーシャルメディア上での事故・トラブルが頻繁に発生しているにも関わらず、従業員や役員が依然としてそのリスクを認識していないケースも多いが、ソーシャルメディア利用における事故・トラブル対策としては、まずその特徴やリスクを認識する必要がある。
【ソーシャルメディアの特徴とリスク】
(1)情報伝達スピードと情報の永続性
情報が広範かつ瞬時に拡散され(世界中に拡がる)、大きな影響を生じることがある。さらに、いったん発信された情報は、拡散し、永続的にインターネット上に残る。削除しようとしても、すべて削除することはできない。
(2)リアルタイム性
個人が体験した出来事を簡単にその場で発信することが可能。反面、思いついた内容を、投稿前に慎重に確認せずに情報発信してしまう傾向が強い。他者による事前チェックの仕組みを作ることは事実上困難である。
※私物の端末からの発信の場合、社内ネットワーク上の管理とは様相が異なり、企業によるアクセスの制限や管理は不可能である。守秘義務の観点での規制を除けば、企業として全てのリスクをコントロールすることはできないことを認識する必要がある。
(3)気軽さと親密さ
簡単・便利であるため、気軽に情報発信がなされてしまう傾向にある。また、自分の投稿は知人しか見ていないという思い込みが生じやすい。仮に情報の公開範囲を限定して発信しているつもりでも、情報のコピーや転送・拡散がなされてしまうことまでは、なかなか意識されない。
さらに、従業員がソーシャルメディア上で不適切発言をおこなうことで炎上し、万一企業名が晒されるような事態になれば、従業員の管理・教育ができていない企業とみなされ、企業イメージを毀損する可能性がある。なかでも、炎上した内容が業務上知り得たものであるような場合、情報漏えいやプライバシー侵害等として、特に企業が批判を受ける可能性が高い。最近では、このようなネット炎上事例がメディアに取り上げられることが多いこともあり、一つの書き込みが企業イメージに与える影響は非常に大きいと言える。
そもそも、情報漏えいや不適切な情報発信に関するリスクは、従来から企業の有するリスクのひとつであり、ソーシャルメディアに限ったものではない。
しかし、従業員が「業務時間外」に「個人アカウントを利用して」、「自身の保有する端末」から発信した情報に関しては、倫理的な問題、技術的な制約などから、投稿される情報の全てを(投稿・発信される前に、あるいは、リアルタイムに)会社が把握するのは困難なのが現実である。
3.踏み台としてのソーシャルメディア
昨年の「リスク・フォーカスレポート~情報セキュリティ編」でも述べたように、企業における情報漏えいリスクの一つとしてクローズアップされている「産業スパイ」や「サイバースパイ活動」は、攻撃の前にソーシャルメディアを利用して標的社員に近づいてくるともいわれている。
▼SPN「リスク・フォーカスレポート~情報セキュリティ編第五回」
最近では、Facebook、Twitter等のソーシャルメディアを利用し、組織内の特定の従業員になりすますことにより、標的社員の情報を取得するといった手口もある。そして、外部からの攻撃の下調べとして、実名制のソーシャルネットワーキングサービス(SNS)が利用されるケースもある。
具体的には、特に近年多いのが、SNSを用いてシステム管理者を装い「パスワードの有効期限が切れています。至急現在のパスワードを入力してください」というメッセージを送信したり、友人であるかのように装い、重要情報を入手しようと試みる手口などである。
国内でもFacebookやLinkedin等、実名登録制のSNS利用者が増えており、本名や勤務先を登録して公開しているユーザーが増えている。さらに、SNS上のメッセージで業務内容にかかわる書き込み(極端な例として、業務上の指示がSNS上で行われるなど)をしていることも少なくない。
それだけに、SNS利用が攻撃者側にソーシャル・エンジニアリング(情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、人間の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指す意味で使われる。)を容易に行わせる原因ともなるということも認識しておく必要がある。SNSに機密情報を書き込んでしまうことはもちろん論外であるが、報道されてしまうような「炎上騒動」に発展する事故も多数ある。
この点は多くの人が認識するようになってきているが、普通に使っているつもりでいても、外部からの攻撃に悪用されるリスクが潜んでいるということを認識する必要がある。
SNSのメッセージ機能を使って、不正サイトに誘導する手法も、攻撃者にとっては有効である。攻撃者はSNSのアカウントを作成して、ターゲットに対して普通に友達リクエストを送る。いったん「友達」となれば、相手のページにメッセージを投稿できる状態になる。SNS上とはいえ友達関係にあるというだけで、リンクをクリックする心理的な障壁は下がる。さらに短縮URLを使うと、サイトURLの怪しさも隠せてしまう。当然のことながら、「友達」の輪を拡げる上でも、慎重さは欠かせない。
※SNSアカウントの詐称および乗っ取り
TwitterやFacebookなどのSNSアカウントは、登録時に身元の確認は行われないため、容易に他人になりすますことができる。このため、芸能人をはじめ、スポーツ選手、ノーベル賞受賞者、さらには首相に至るまで、これまで様々な著名人を装ったSNSアカウントが出現している。企業や組織等が、社会に対する情報発信ツールとしてSNSを利用すると、偽のアカウントから発信された情報により、企業の信頼や業績に悪影響を及ぼす可能性が生じるのである。個人のSNSアカウントに関しても、社会に対して影響力のある個人の場合、その発言等が金融市場に影響を及ぼす可能性があることは否定できない。
米国では著名投資家を装ったアカウントが出現し、米証券取引委員会は投資者に対して、SNSを利用した不正行為に対する警告を発している。
▼情報処理推進機構(IPA)「SNSにおけるサービス連携に注意!~あなたの名前で勝手に使われてしまいます~」(2012年10月)
4.ソーシャルメディアのリスク対策
ソーシャルメディアを利用するユーザーの動機は「より幅広い人との交流を深めていきたい」、「新しいマーケット開拓のきっかけにしたい」というのがほとんどである。積極的につながりを増やしていくことと、外部からの攻撃を回避しようとすることとの間で相反する使い方が求められるが、それは、利用者の自己責任でバランスを取ればいい、というほど簡単なものではなくなっている。
例えば、情報を発信する術を手に入れたユーザーがいったん情報を出し始めると、他のユーザーからの反応やレスポンスがあれば、それだけ、より多くの情報を出し、ユーザーの関心を引こうとしたりして、自分が人気者や情報通であると勘違いしやすくなる。
また、自分の意見等への賛同者を求める傾向が強まり、反対意見の者を公然とバッシングしたりして、その過程で、さらに別の情報や素材が持ち出され、本来書き込まれるべきではない種々の情報が、「活字」として、「オープンスペース」に持ち出されてしまうのである。
炎上といわれる事態が発生するのも然り、SNS推奨者であっても、その書き込みやツイートを見てみると、この傾向が顕著であることが分かる。
企業・組織は従業員のソーシャルメディア活用に対して、企業を狙う外部からの攻撃リスクがあることを認識するとともに、「どのようなことに注意すべきか」「どのような行為をしてはならないか」等の「企業姿勢・原則」とともに、問題が発生した場合、あるいは発生する恐れがある場合の「行動指針」についてガイドライン等で明示しておくことが、リスク対策上必要となる。
多くの企業担当者は、こうしたソーシャルメディア上の事故・トラブルは、学生や若手社員特有のものであると誤解しがちだが、実際には年配社員の方も危険であるということも十分認識する必要がある。
携帯電話をスマートフォンに買い替えたのを機会にソーシャルメディアデビューをし、ネットワーク上のコミュニケーションもフェイストゥフェイスのコミュニケーションと全く同じものだと思い込んで、重要な情報をうっかり漏らすといった、危うい行動はむしろ年配社員のリスクの方が高い。運用ルールには、社風や運用担当者のリテラシー、従来のルール決めとルール遵守の慣行等、様々な事情を加味していく必要があるのである。
