過去数年の間に IT 管理者の考えを大きく変えるに至ったものはなく、ソーシャルネットワークは依然としてセキュリティ上の大きな懸念となっています。変化したのは、ソーシャルメディアがますます定着し、IT 管理者がソーシャルメディアへのアクセスを遮断することはますます困難になってきたということです。シマンテックが行ったアンケート調査によると、企業がソーシャルネットワークサイトへのアクセスを遮断できる確率は 20 分の 1 に過ぎません。 この原因の一端は間違いなく、企業がマーケティング活動としてソーシャルネットワークの導入を急いだことにあります。企業は Twitter アカウントを取得し、Facebook のファンページを作成して、オンラインコミュニティでその存在をアピールし始めました。シマンテックのアンケートでは、ソーシャルネットワーク上に進出するだけでも企業に好影響があることが明らかになっています。アンケート回答者の 52% が、ソーシャルメディアに進出したことで企業に対する反応にプラスの影響があったと答えています。従業員の満足度についても、ソーシャルネットワークへのアクセスを全面禁止するような企業では働きたくないという回答が 32% に達しました。最終的に、企業の 95% はソーシャルメディアを遮断していないという結果になっています。 アンケート回答者の 46% は、就業中に私的な理由でソーシャルメディアにアクセスしたことがあると答えています。28% が、ソーシャルメディアを 1 日に 3 回以上利用しています。なかには、トイレ休憩よりソーシャルメディアを優先するという人さえいます*。そして、会社の規則を破ってソーシャルメディアを利用したことがあるという回答も 13% に及んでいます。 (*これは皮肉をまじえたアンケートでした。次の会議まであと 5 分しかなく、トイレに行く必要はあるが今日はまだ Facebook をチェックしていなかった、さてあなたはどうする、という質問です。自分の席で Facebook をチェックするという回答が 2%、トイレに携帯電話を持ち込むという回答は 11% でした。) このような状況に IT 管理者が感じている不満については調査しませんでしたが、その懸念については調査を行いました。2 年前に、シマンテックは IT のセキュリティ専門家に対してアンケートを実施しており、就業中にソーシャルネットワークを利用しているエンドユーザーに関してセキュリティ上のリスクを懸念しているという回答は 77% にのぼりました。今年の 2 月まで時間を早送りしてみても、ソーシャルメディアは依然として大きな懸念事項でした。2010 State of Enterprise Security Report(2010 年版、企業セキュリティに関するレポート)でアンケートを実施した CIO や CISO のうち 84% が、ソーシャルネットワークサイトを自社のセキュリティにとって深刻な脅威であると考えていました。 これほど大きな懸念が持たれていることには、理由があります。ソーシャルメディアには、攻撃者が個人情報を見つけるチャンスが多く、それをソーシャルエンジニアリングに利用すれば特定の個人を標的にできるということです。攻撃者は、ソーシャルメディア上の活動を追跡して、友人、趣味、位置情報(勤務地や、休暇中かどうかなど)などの個人情報を入手することができます。場合によっては、ユーザーが誤って、あるいは意図的に重要な情報をソーシャルメディア上に漏らしてしまうことさえあります。また、ソーシャルメディアがスパムやマルウェアの攻撃経路としても盛んに利用されていることは言うまでもありません。一斉大量攻撃でも標的型攻撃でも、ユーザーの周りに友人がいれば、正規のリンクに見せかけてクリックを誘うことは簡単です。 このような事態に対して、IT 管理者はどう対処してきたのでしょうか。ソーシャルメディアを遮断している企業は、2 年前には 28% でしたが、現在では 5% にすぎません。従業員の要望や、企業自身がソーシャルメディアを活用し始めたことを考えれば、これも特に驚くようなことではありません。ソーシャルメディアを禁止することは、ほとんどの企業で現実的でなくなっているのです。 2 年前のアンケートで、最も注目すべき数字があります。それは、76% の企業がソーシャルネットワークに関して何のポリシーも設けておらず、またそのうち 80% はそれに取り組んでもいなかったということです。その後は、企業の関心が向上し、ソーシャルメディアへのアクセスも開放されるようになったので、これらの企業もポリシーを実施するようになったと期待したいところです。実際には、企業によって対応はまちまちです。最近のアンケートによれば、対象となった従業員のうち 42% が、各社の職場におけるソーシャルメディア利用について何のポリシーもないと回答しています。企業は、心配こそしているものの、ソーシャルメディアの利用にあたって必要とされる安全な行動に関して、ユーザーへの教育や指導は何もしてないという状況なのです。これでは先見性に欠けると言わざるをえません。ソーシャルメディアを止めることはできなくても、リスクに対処することはできるからです。 具体的な従業員ポリシーを設けるかガイドラインを示すにとどめるか、それは各社のニーズやリスクによって異なりますが、どのようなものにしてもソーシャルメディアに関するポリシーを策定すれば、企業はリスクを大幅に軽減できます。IT ポリシーの策定と自動化を行う技術を利用する方法もあります。しかし、真の価値をもたらすのは、ポリシーを実施できる能力と、ポリシーの順守状況を長期的に続けて監視できることです。 ソーシャルメディアの普及とその影響力は無視できないまでになり、企業がソーシャルネットワークに参加することが有利になることも多くなっています。しかし、ソーシャルメディアは IT セキュリティとのバランスを考えて正しく生産的に使うことが重要です。ポリシー、技術、従業員の教育を組み合わせて利用すれば、このバランスを維持することが可能になります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。