SNSのセキュリティで考慮すべき事項とは?リスクの内容と対策を解説

この記事は約12分で読めます。

いまや、日本でSNSを利用していない人の方が少ないのではないでしょうか。

TwitterやFacebook、Instagram、Tiktokなど、用途に応じて複数のSNSを利用しているという方も多いのではないでしょうか。様々な人とつながったり、知らない情報を入手できたり、かんたんに自分から情報を発信できる非常に便利なツールではありますが、一方で、情報セキュリティリスクも潜んでいます。

最近では企業がSNSを利用するケースも増えています。いわゆる公式アカウントとして、自社の知名度向上や人材募集の手段として利用している企業も多いのではないでしょうか。

コストをかけず世界中に情報発信できるため非常に便利ではあるのですが、使い方に気をつけないと、大きな情報セキュリティ事故につながってしまうかもしれません。

そして、企業のSNS利用においては「企業の公式アカウント」と「従業者のアカウント」という2つの視点をうまく意識していなければ炎上、そして企業の信頼低下というマイナスの効果につながるケースもあります。

今回は、個人のユーザーや企業のSNS管理者が今後SNSをより便利に有効に使うために、知っておくべき情報セキュリティリスクと対策についてご紹介します。

また、LRMではSNS炎上を防止するための事例と予防策をまとめた資料を無料で配布しています。ぜひご活用ください。

SNSを取り巻くセキュリティリスク

SNSの利用においては、実は様々なセキュリティリスクが存在しています。リスクへの対策の第一歩は、まずはリスクの内容を知ることです。本項ではSNS利用に関するセキュリティリスクについて紹介します。

認証情報の漏えい・流出・解読

SNSの利用にはIDやパスワードといった認証情報が発生します。もし、認証情報が漏えいしてしまうと、SNS上に登録していた個人情報の漏えいやアカウントの乗っ取りが発生する可能性があります。

漏えいに限らず、かんたんな認証情報を使っていることで、攻撃者に解読されて同じ状況に陥ることも考えられます。単純なパスワードを利用している場合には、ツールの利用などでかんたんにパスワードが特定される可能性があります。

また、SNSで利用する認証情報を別のサービスでも使いまわしていた場合、さらなる不正アクセス被害などが発生する可能性もあります。

企業の利用するアカウントの場合、乗っ取りにつながるセキュリティリスクです。

詐欺行為の発生

メールやショートメッセージなどのように、SNSのDM上でも怪しいリンクの送付といったフィッシングや詐欺行為などが行われています。また、LINEなどで知り合いに成りすましてプリペイドカードの購入などを求めてくるケースも存在します。皆さんもニュースなどで目にしたことがあるのではないでしょうか。

SNSアカウントは全世界に公開されているケースが多く、攻撃者もターゲットにしやすいため注意が必要です。

投稿からの情報漏えい

SNSで自分の仕事に関連する内容などを投稿する方も多いのではないでしょうか。たとえば有名な人や企業とお仕事をすれば、自慢げに投稿したくなってしまうかもしれません。しかし、投稿をしてしまうと業務情報の漏えいや取引の中止などにつながってしまう可能性もあります。

また、その時やっている事や居場所などを投稿したり、写真をアップしたりすると、自宅の場所や個人情報などが写りこんでいて、特定されてしまう可能性もあり得ます。画像の中のExif情報から所在地が特定される場合もあるでしょう。旅行中などに写真を投稿したくなることもあると思いますが、写真を投稿した結果、旅行中で今この人の家には誰もいないんだということを悪意を持った人に感づかせてしまう可能性もあります。

また、SNSを利用している個人に対して興味を持たれている場合、これらの情報が漏えいすることでストーカー行為に利用されることがあり得ます。SNSへの投稿は情報の公開であり、場合によっては危険もあります。現実世界と繋がっていることは忘れてはなりません。

従業員による機密情報や企業の保持する個人情報の漏えい

より大きな被害に繋がり得るセキュリティリスクが、SNS上へ従業員によって機密情報や企業が保有する個人情報が漏えいすることです。SNSは利用の仕方や設定にはよるものの、情報を複数のユーザーで共有する、公開する仕組みです。企業の持つ機密情報や個人情報がSNS上に流出した場合、企業は信頼を失い、ブランド価値の低下が発生し、本来の業務にも悪影響を及ぼします。

当然、SNS上にそれらの情報が流出することは避けるべき問題ですが、従業員がSNSを利用することはその可能性を生み出す行為です。営利目的の意図的な内部からの情報の流出の場合もあれば、意図せず背景に移ってしまった情報に重要な内容が含まれるケースもあり得ます。

企業アカウントのなりすまし、乗っ取り

多くのSNSでは誰でも自由にアカウント名を決めたりアイコン画像を設定したりすることができます。つまり、企業のオフィシャルアカウントになりすますこともできてしまうということです。もちろんSNSサービス提供側でも確認の手順を設けるなど対策はしていますが、完璧ではないでしょう。

企業にとっては、なりすましアカウントが登場した場合、企業価値を下げるような投稿が行われる、虚偽の情報を流されるといった被害が想定されます。

なりすまし以上に最悪なケースが、アカウントの乗っ取りです。

なりすましの場合は明らかにアカウントが違うため対処のしようがあります。しかし、アカウント自体が乗っ取られた場合、本物のアカウントのためSNSサービスの提供者側でも怪しいと気づくことはできません。つまり、攻撃者がより大胆に行動する可能性があるということです。

企業にとってSNS投稿が問題視され悪い評判を起こしてしまう「炎上」の発生は、大きく評価を落とすことに繋がりかねません。社会的な信頼感やブランドイメージなど失うほどの大きいリスクとなります。

企業アカウント管理者の誤爆問題

企業のアカウント管理者が、個人で利用しているSNSアカウントと企業の公式アカウントを間違えてSNSに投稿をしてしまうことは、よく「誤爆」と例えられます。企業の公式アカウントによる投稿は企業の見解と認識されるため、誤爆が起きると投稿者の個人的な意思が企業の考えと勘違いされてしまう恐れがあります。炎上の原因ともなるため、起きてはほしくない事象です。

今すぐできるSNSの情報セキュリティ対策

企業におけるSNS利用、個人が普段使うSNSの両方で、今すぐ実施できるセキュリティ対策について紹介します。

ITリテラシー向上に向けた教育

個人ユーザーでも企業の管理の面でもSNS利用に関する情報セキュリティの基礎となるのは教育です。まず、情報の持つ価値、セキュリティ被害の大きさ、あらゆる端緒から大きな問題につながることといった、SNSも含めた情報セキュリティについての知識を持っていなければ、SNSでのセキュリティトラブルは避けられません。

個人ユーザーの場合には、ITリテラシーを向上させる事を自分で意識しておきましょう。

企業においては、従業員にITリテラシーにつながる知識を周知する必要があります。企業のセキュリティポリシー、コンプライアンスに対する考え方なども全従業員が知っている状態で無ければなりません。

また、トラブル事例を知っておくことも、セキュリティ対策として大きな効果があります。トラブル事例とその問題点をしっかり押さえることが重要です。

社会人が知っておくべきセキュリティ対策をテスト形式でチェックできる情報セキュリティ理解度チェックテストを無料で配布しています。ぜひご活用ください。

SNS利用ルールを策定する

企業の従業員に対してはSNSの利用ルールを定めておくことも重要な対策となります。個人においては家庭や学校などで利用に関するルールが存在する場合もあるでしょう。

ルールが存在しない場合、従業者はどのような基準でSNSを運用すればよいのかわかりません。個人の良識に従って運用することになってしまいます。仮に悪意を持った行動などを行われた場合にも、「ルールにない」ことを理由に対応が求められないこともあり得ます。

ルールとして決めておく内容の例としては、以下のようなものが考えられます。

投稿してはいけない内容

企業や業務に関わる内容のうち、何は投稿してよいのか、どこまで投稿してよいのかを示すことが必要です。反対に、投稿してはいけない内容をブラックリストで提示してもよいのですが、抜け漏れや例外などがでやすいた気を付けましょう。

個人の見解であることの明示有無

SNS上で各種の意思・思想・信条などを表明する場合には、個人の見解であることを示すことで、企業としてのオフィシャルな意見ではないことを明示的に示す必要があります。SNSでの投稿は炎上すると、所属企業まで飛び火する場合もあるため、明確な線引きが必要です。

ブランディングへの寄与の必要性

企業の持つブランド、価値についてもその重要性とSNSが果たす役割を知っておかなければなりません。ブランド低下は大きな損失であることを周知します。

アカウント管理

SNS利用におけるセキュリティトラブルにおいて、アカウントの扱いは重要です。個人のアカウントと企業のアカウントを明確に分け、それぞれ別個にパスワード強化などの対策を行います。問題発生時に被害が広がることを避ける意味でも、パスワードは別にしておくことが最低限必要です。

情報漏えいや企業に損害を与えた場合の懲戒手続など

SNSの利用において、機密情報や個人情報の漏えいなどの問題を起こし、企業に損害が発生した場合には、社則により懲戒などが行われることについても周知しておきましょう。

こうしたルールはセキュリティポリシーとしてまとめておくと便利です。

セキュリティポリシーの策定のポイントはこちら

SNS利用ルールの教育を実施

SNS利用ルールは定めただけではなく、教育・周知を行い実際に適用される必要があります。SNSを実際に運用するのは、運用担当者や各従業員です。つまり企業がいくら意識を高く持っていても、従業員の意識が低ければ情報セキュリティ事故発生の可能性は高まります。

SNS利用上でのリスクや対策内容、事故事例などの教育を実施することで、実運用を行う従業員自身のリテラシーを向上させましょう。

情報の公開範囲をコントロールする

SNSで投稿する情報に関しては、広く公開したいものと、特定の範囲のみに伝えたい内容があります。これらはSNSツールによって変わってくるものの、範囲を設定することが可能です。本当に必要な範囲に対してのみ情報を開示するように設定しておくことで、不必要な被害を未然に防ぐことに繋がります。

徹底した認証情報管理

SNS利用上での認証情報の管理も重要です。パスワードは十分な複雑性をもったものにしましょう。そして、他のサービスと同じものは絶対に利用しないことも大切です。

強固なパスワードができたら、パスワード管理ツールの利用などで外部に漏えいするリスクを減らすことも大切です。

多要素認証の利用

もし認証情報が流出しても、多要素認証を有効にしていると流出した認証情報だけではアカウントにアクセスすることができなくなるため、被害を最小限に食い止めることができます。

最近ではTwitterやFacebookなどでも多要素認証をかんたんに利用することができるので、利用可能な場合には有効化することをおすすめします。

安易なフォロー・コンタクトを避ける

SNSによっては、名前やアイコンが本人でなくても登録できる場合もあります。つまり、知り合いかもと思ってフォローした人が知らない人であったり、いい人そうと思ってコンタクトを取っていた人が実は自分に悪い影響を与える人いうことも十分に考えられます。

SNSを通じてたくさんの方とつながりたいと思うかもしれませんが、本当にその相手は信頼できる人なのか、必要以上にコンタクトをとってもいい人なのかしっかりと確認をしてから、フォローやコンタクトを行うようにしましょう。

少なくとも、違和感のあるURLを送ってきたり、SNSを通じて金銭を要求してくるような人には対応しないことをおすすめします。

投稿前に投稿内容を確認する

SNSへの投稿時には内容を確認する手順を設けましょう。

今、投稿しようとしている内容に、公表していない内容、公開してはいけない内容は含まれていないでしょうか。悪用されるような情報はないでしょうか。重要な情報が写りこんではいないでしょうか。誰かを傷つけたりするものではないでしょうか。

SNSではかんたんに投稿できてしまうため、常に気をつけていないと重要情報を投稿してしまっているかもしれません。そして、一度投稿した情報は削除したとしても拡散してしまっていると考えるようにしましょう。

今すぐ投稿したいかもしれませんが、投稿ボタンを押す前に一度、投稿内容を読み返してみましょう。

アカウント共有は最低限に

公式アカウントの運用などについては、複数人で実施している場合もあるかもしれません。業務効率などを考えると複数人で対応できる状況である方がよいかもしれませんが、アカウントにアクセスできる人数が多いほど、SNSを取り巻く情報セキュリティ事故の発生可能性も上がります。

投稿や運用に関するルールを明文化したうえで、可能な限りアクセス制限が行われている状態にしておくことをおすすめします。

SNS投稿を行うITデバイスを限定する

SNSはネットワーク上に接続されたITデバイスならば、あらゆるところから自分のアカウントで利用することが可能です。PCやスマートフォン、タブレットなどの様々なITデバイスを持ち、それぞれをSNSで利用しているケースもあります。

ここで注意しておきたいのが、企業の公式アカウントや企業に所属することを明言したアカウントによるSNS利用と、個人でのSNS利用を行うITデバイスを分けておくことです。特に業務で利用しているITデバイスには機密情報や顧客の個人情報などの重要なデータが格納されている可能性があり、誤って問題が発生した場合には大きな被害に繋がります。セキュリティ上の事故でも、個人の利用ミスでも同様なため、可能な限りITデバイスも分けておくことが事故の発生と被害を最小限で済ます対応策の一つです。

まとめ

SNS自体は非常に便利なサービスで、個人ユーザーも企業も上手に活用できれば様々な恩恵を受けることができます。しかし、セキュリティ面での懸念や、企業による利用の場合にはコンプライアンスが問われたり、ITを通した世論とも対峙することには注意が必要です。セキュリティ対策を十分に行い、企業では利用のためのルールを定めるなど一定のコントロールが必要となります。

また、効率的・効果的な従業員教育を実施できるToDoリストのDLはこちら

情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました