生産性の低下と攻撃を避けるにはSNSの脅威は会社のポリシーで防止する

SNSやWikiの利用を一律に禁止すれば、会社が競争上の不利益を被る可能性もある。SNSの潜在的メリットを損なうことなく攻撃を食い止めるにはどうすればいいのか。

[Michael Cobb，TechTarget]

　インターネット攻撃の大部分は、信頼を逆手に取って人間性に付け込む形で発生する。例えば、友人や家族が参加しているWebベースのソーシャルネットワーキングサービス（SNS）に安心感を持つのは人として自然なことだ。友人や家族のプロフィールページに、自分を「攻撃」するようなものが潜んでいるとは思いもしない。

　同様に、Wikiも善意で作成されたものが大半だ。大抵はその問題に関する専門家が手掛けており、わたしたちは専門家を信頼する傾向にある。有用な情報がたくさん詰まったページに有害なものが含まれているとは考えない。しかし、そうしたWebページが、ほとんどの場合ページ所有者や作者の知らないうちに、マルウェアの配布に使われている証拠はいくらでもある。

　2007年11月、MySpaceでアリシア・キーズをはじめミュージシャン多数のプロフィールに悪質コードが仕掛けられているのが見つかった。また、McAfeeが最近報告したMySpaceの悪質な友達リクエストは、クリックすると一見公式画面に見せかけた「自動更新」をポップアップ表示する。しかしMcAfeeによると、実際にダウンロードされるのは「マルウェアカクテル」で、複数のダウンローダーやトロイの木馬、リモート管理ツールなどが含まれている。

　従って、企業にとってはSNS利用に伴う生産性の低下やそこから生じるプライバシー問題への不安にとどまらず、特に職場では、感染ページを通じたネットワークへの不正侵入といったセキュリティ上の直接的なリスクが存在する（ユーザーが知らないうちに感染する「ドライブバイ」マルウェアが、SNSに限らずWebページでどれだけ多く配布されているかは、Google研究者が昨年公開した「The Ghost in the Browser」を参照してほしい）。

SNSポリシーの作成

　企業にとっての課題は、SNS利用の潜在的メリットを損なうことなく、SNS経由の攻撃をどう食い止めるかだ。ポリシーやフィルタを使って従業員によるSNSやWikiの利用を一律に禁止すれば、会社が競争上の不利益を被る可能性もある。特にエンターテインメントやハイテクなどの業界、あるいはマーケティングや人事などの業務ではその可能性が高い。SNS人気を悪用しようとする者も合法組織も狙いは同じ。すなわち製品の宣伝、人材獲得などだ。

　企業は技術と研修を通じ適切なポリシーを導入して、SNSの危険をかわす必要がある。ポリシーは、その会社のリスクに対する姿勢といった個別事情に左右される。例えば、芸能プロダクションなどのエンターテインメント関連企業なら、SNSの禁止は現実的でないと判断するかもしれない。一方、銀行の場合、こうしたサイトへのアクセスを認めるのは特定の従業員や部局のみということもある。どのような組織でも、従業員のWeb閲覧は監視されている。仕事と関係ないサイトをあまり頻繁に利用していれば会社の目に留まり、何らかの処罰の理由になり得るということを、従業員に周知徹底させるのが望ましい。

従業員へのポリシー強制

　従業員研修とは、ポリシーとその強制、そしてポリシーによって防ごうとしているリスクを従業員に教えることだ。雇用主がただ上から一律に禁止するよりも、従業員に情報を提供した方が協力は得られやすい。

　ポリシーで触れたリスクについて言えば、コンピュータが感染すると、会社のネットワークを含むほかのマシンへの攻撃に使われて重大な損害を引き起こし、個人情報の流出や個人ファイルの損失につながる可能性がある。「SNSのバナー広告はクリックしない」といった指示を徹底すれば、こうした結果を避ける一助になる。そのような広告はマルウェアの配布に使われることがあるからだ。例えば偽のアップデート通知のような新手の攻撃が浮上した場合、管理者は追加の指示を出してもいい。

　SNSとWikiに関して一般的な認識を高める研修も役に立ちそうだ。SNSでは匿名が保たれるという考えは正しておいた方がいい。SNSに掲載した内容は、インターネットを通じて地球上の誰もがアクセスでき、その情報をたどれる場合もあることを従業員に認識させよう。母親に見られたくないようなことを電子メールに書かないという教訓と同様、従業員はSNSに投稿する際も次のように自問しなければならない。「まったく知らない相手、そして自分の知っているすべての相手に、自分に関するこの情報を本当に知ってもらいたいのか」と。

　もちろん、すべてのSNSの構造が同じレベルであるわけではない。有効な身分証明の提示を求め、有料会員制などを通じて審査を受けた会員しかアクセスできないようにしている場合もある。こうしたサイトは、当然ながら不正利用されにくい。例えば、有料で会員登録する必要があるCompuServeフォーラムは、一度も大きなダメージを被ったことがない。

　「ソーシャルな」マルウェアに関しては、防御技術として従来型のマルウェア対策製品でネットワークと接続している全クライアントにスキャンをかけることで感染を検出・防止できる可能性がある。既知のマルウェアページにアクセスできないようにするリンクチェックやサイトフィルタリングも検討すべきかもしれない。「LinkScanner」「SiteAdvisor」といったツールが助けになる。さらに、あらゆる悪質サイトから従業員を遠ざける手段として、無料DNS解決サービスのOpenDNSも検討する価値がある。社外でマシンを利用する従業員については、ボット防御および会社のネットワークに接続する前にシステムをチェックしてくれるネットワークアクセス制御の利用を検討しよう。

　SNSは間違いなく極めて魅力的で楽しいインターネットの利用方法であり、ブームがすぐに過ぎ去ることはまずないだろう。しかし、当面の間、マルウェアなどの脅威がSNSをさいなみ続ける状況は目に見えている。しかし優れたポリシーと従業員の啓発により、SNSのリスクは大幅に減らすことができる。

本稿筆者のマイケル・コッブ氏は、データセキュリティおよび解析に関するトレーニングやサポートを提供するITコンサルティング会社、Cobweb Applicationsの創業者兼マネージングディレクター。CISSP-ISSAP（公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル）の資格を持つ。共著書として「IIS Security」があり、主要なIT出版物に多くの技術記事を寄稿している。

関連ホワイトペーパー

マルウェア | コンプライアンス | 社員教育 | 業務効率