本当は怖いフェイスブック情報マネージャとSEのための「今週の1冊」(95)

フェイスブックは確かに便利だが、使い方を誤れば、個人のうっかりミスが、ブランドの低下や信頼失墜など、組織全体の問題に発展する恐れもある。

» 2012年06月26日 12時00分 公開
[@IT情報マネジメント編集部,@IT]

フェイスブックが危ない

ALT ・著=守屋英一
・発行=文藝春秋
・2012年5月
・ISBN-10:4166608673
・ISBN-13:978-4166608676
・680円+税
※注文ページへ

 「ソフォスのアンケート調査では、セキュリティ上、最もリスクが高いと感じるソーシャル・ネットワークを尋ねたところ、『フェイスブック』と答えた人が81%にも上った。1年前に同じ質問をしたときは60%。この1年で、大幅に増加している」。実際、フェイスブックで「金銭を目的としたサイバー犯罪が頻繁に発生」しており、「スティーブ・ジョブズ氏が亡くなったとき」「『ジョブズ氏への追悼の意を表してアップルがiPad1000台の無料配布を決定』という偽りの投稿を載せ、不正なウェブサイトへの誘導を狙った」事件が起こった。「心当たりのないURLは、絶対にクリックしないこと」だ――。

  本書「フェイスブックが危ない」は、いまや世界で9億人が利用しているフェイスブックを安全に利用する上で、知っておくべき脅威や注意点を紹介した作品である。「人脈作りに役立つ」「震災時の安否確認にも便利」として年々利用者を伸ばしているが、一方で「プライバシーの流出やサイバー犯罪の被害も広がっている」。著者は、数々の事例を挙げつつ、そうしたサイバー犯罪のほとんどが利用者の警戒心が薄れがちな点を突いたものであることを指摘。何かと便利なフェイスブックだが「利便性とリスクは背中合わせ」であることを自覚すべきだと訴えている。

 実際、「フェイスブックでは、たび重なるプライバシー設定の緩和によって」さまざまな問題が発生している。その1つが「利用者に代わって無差別に投稿したり、アプリのインストールを求め」たりする「スパムアプリ」だ。

 例えば「花やケーキなどの画像で記念日や誕生日にメッセージを友達に送る」「Greetings」というアプリは、「フレンド・パーミッションと呼ばれる機能を利用して、アプリをインストールした人の友達リストに載っている人の情報まで、スパムアプリの作成者に提供する。しかし許可なく行ってしまってはプライバシー侵害となる。そこで、アプリをインストールする際に、『あなたのお友達リストの情報も、アプリ作成者に知らせるけど、いい?』と許可を求める仕組みになっているのだが」、文字が小さく、いちいち確認するのも面倒なことから、「多くの人はよく分からないまま、『はい』をクリックしてしまう」。つまり、「アプリを導入することで、あなたは、友人のライフログをもスパムアプリの作成者に提供してしまっている」。

 「いいね!」ボタンも狙われている。「エフセキュアによれば、元IMF専務理事ドミニク・ストロスカーンのスキャンダルに関する記事を『いいね!』ボタンを利用して拡散させ、ウイルスに感染させる行為が確認されている」。また、「トレンドマイクロのセキュリティブログによると、『フェイスブックにメッセージが届きました』という通知メールを送り、不正なプログラムに感染させる手口」もあるのだという。さらに、「SNSなどで公開されている情報から趣味嗜好や交友関係等の情報を利用」し、人の心理的なスキに付け込んで秘密の情報を入手するソーシャル・エンジニアリングに利用されてしまうリスクも高いのだという。

 では、どうすれば良いのか? 著者は「SNS利用における鉄則」として、「個人を特定されるようなことは極力書かない」「住所や連絡先など、プライバシーにかかわる情報もある以上、慎重に閲覧制限をかける」「解雇・犯罪など、流出することで自分や周りの人によくない影響を与える情報があることを認識し、投稿内容に配慮する」という3つのポイントを挙げている。

 さらに、これらの鉄則をフェイスブックに当てはめ、「プロフィール情報などセンシティブな情報へのアクセスは『親しい友達』もしくは『自分のみ』を選択する」「友達リクエストは原則『保留』をクリックし、『非表示のリクエスト』で放置」。「友達は付き合いのレベルに応じて、『幼なじみ』『仲良し』『同僚』『知り合って日が浅い人』『断りづらくて承認した人』などに分類し、アクセス制限をかける」ことなどを推奨している。著者は、安全に使うためにはそうした一定の管理が必要なことから、「フェイスブックの友達は、150人程度が信頼関係を保てる限界」と考えているという。

 フェイスブックではその利便性や実名表記の安心感もあって、勤務先名も公開している利用者が多い。だが使い方を誤れば、個人のうっかりミスが、ブランドの低下や信頼失墜など、組織全体の問題に発展する恐れもある。特に怖いのは、自社の機密情報を日記感覚でぽろりとこぼしてしまう可能性もあることだ。著者はそうした点を挙げて、企業としてSNS利用のガイドラインを定めることを勧めているが、実際に「ルールを設けている企業は2〜3割程度」だという。

 本書を読むと、その気軽さ、便利さに対するリスクの大きさ、深刻さをあらためて実感できる。これだけ利用者が増えた今、あなたの会社にも相当数のユーザーがいるはずだ。リスクマネジメントの一環として、ぜひ本書を参考にガイドライン策定を検討してみてはいかがだろうか。


この新連載で紹介した書籍は、順時、インデックスページに蓄積していきます(ページ上部のアイコンをクリックしてもインデックスページに飛ぶことができます)。旧ブックガイドのインデックスはこちらをご覧ください。

「情報マネージャとSEのための「今週の1冊」」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ