ソーシャル ネットワークと
企業のセキュリティ
"効果的なセキュリティ プラクティス" シリーズ
ソーシャル ネットワーキングの登場により、CISO やセキュリティ プロフェッショナルが対応すべ き新たな課題が続出しています。顕在化しつつある問題の 1 つは、オンライン上で従業員が不 用意に仕事に関する情報を公開しすぎてしまうことです。たとえば、Facebook で "状況が思わしく ない大きなプロジェクト" の現況についての投稿があった場合、他の投稿と突き合わせてみるだ けで、どのようなプロジェクトなのかわかってしまう可能性があります。あるいは、LinkedIn で推薦 文を依頼していれば、転職を考えているのかもしれません。同じ部門の他の従業員も転職活動を していれば、その企業や部門が何か問題を抱えているのではないかと推測できます。データを互 いに関連付け、視覚化し、機密情報を推測するさまざまなツールやテクノロジーが登場しており、 こうした従業員による情報公開は企業のセキュリティにかかわる重大な問題となってきています。 このホワイト ペーパーでは、いくつかの新たな脅威、データ マイニング テクノロジーの現状、お よび脅威への対策として現時点で有効なプラクティスについて見ていきます。 Herbert H. Thompson 博士 People Security チーフ セキュリティ ストラテジストこのドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。 マイクロソフトは変化する市場状況に対応する必要があるため、このドキュメントは、記載されている内容の実現に関する マイクロソフトの確約とはみなされないものとします。また、発行日以降における、このドキュメントに記載されている情報の 正確性に関して、マイクロソフトはいかなる保証もいたしません。 お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかな る部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、 複製または譲渡することは禁じられています。ただしこれは、著作権法上のお客様の権利を制限するものではありません。 マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財 産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれら の特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。
Microsoft は、米国 Microsoft Corporation の米国およびその他の国における商標または登録商標です。その他、記載さ れている会社名および製品名は、各社の商標および登録商標です。
Microsoft Corp. • One Microsoft Way • Redmond, WA 98052-6399 • USA
このドキュメントは、情報の提供のみを目的としています。明示または黙示にかかわらず、このドキュメントに関してマイクロ
1 ソーシャル ネットワークと企業のセキュリティ 信頼できるコンピューティング - マイクロソフト
はじめに
情報セキュリティは状況が目まぐるしく変化する分野です。関連法規が頻繁に改正され、技術革 新も絶えることがなく、攻撃者たちはさらに洗練された手口を使うようになってきています。このよ うに混乱した状況の下、セキュリティの現場担当者は、より柔軟な思考で困難な問題の解決に取 り組むことが求められています。しかし、セキュリティ測定基準、セキュリティ リスク管理フレーム ワーク、セキュリティ ポリシーといった問題への取り組みが互いに共有されずに進められた結果、 こうした取り組みにおけるイノベーションの大部分は企業の内部に埋もれてしまっています。この ような情報の不均衡に対応するため、マイクロソフトでは、重要なセキュリティ イノベーションの共 有を目的とするホワイト ペーパー シリーズを立ち上げました。このシリーズで扱うトピックは、マ イクロソフト CSO 委員会の参加者が提供します。CSO (Chief Security Officer: 最高セキュリティ責 任者) 委員会は、マイクロソフトの "信頼できるコンピューティング" グループ (Trustworthy Computing Group) の顧問を務める大手グローバル企業のセキュリティ責任者で構成され、年 2 回の会合を開催しています。 私たちの目的は、きわめて困難なセキュリティ問題に対する "第一線" のプラクティスを広く共有 することです。ソート リーダーへのインタビューや議論および討論を重ねてきた結果、効果的なプ ラクティス集がまとまりつつあります。やるべき課題は山積みですが、このシリーズが議論の活性 化と、IT セキュリティ分野における情報共有のさらなる促進につながれば幸いです。概要
ソーシャル ネットワーキングの登場により、企業の CISO は、情報漏えいにかかわる新たな課題 に直面しています。個人がオンラインに公開する情報の量は、私生活と仕事のどちらについても ますます増加しています。おしゃべりな従業員が危険なのは今に始まったことではありませんが、 最悪の事態が今起こりつつあるのかもしれません。以下の点について考えてみましょう。 豊かな情報源: 人々は自分の生活について、ますます多くの情報をオンラインで公開していま す。Facebook だけでも、毎日 5,500 万件以上の更新が行われています。2009 年後半に、 Twitter は "ツイート" 数が 50 億件に達したと発表しました。"ツイート" とは、"いまなにして る?" という問いかけに答える 140 文字以内のメッセージです。 オープン・ソース・インテリジェンス (OSINT) ツールの登場: 現在では、いくつもの新しいオープン ソース インテリジェンス ツールが存在し、これらを利用して人々の生活や人間関係を探り出すこ とができます。このツールは、さまざまな人がさまざまな時間に公開した情報を相互に関連付ける 手段として、攻撃者、競合企業、政府機関、個人に利用されています。 特定の個人を狙ったフィッシング攻撃: 大量の個人データや企業データがオンライン上に存在す るため、攻撃者は攻撃対象に合わせてフィッシング攻撃の内容を変えるようになっており、場合に よってはそのプロセス自体を自動化しています。現在では、さまざまなツールやフレームワークを 駆使してオンラインで個人情報を収集し、攻撃対象の個人にとって信憑性のある情報を盛り込ん だ電子メールを作成することができます。つまり、オンライン上に個人情報が氾濫することによっ て、詐欺 (真の標的は企業) に従業員が騙されやすくなり、その結果、企業にとってのリスクが増 大します。 ポリシーの限界: 社内ポリシーの策定は、勤務時間中のソーシャル ネットワークの使用を抑制す る手段としては強力です。しかし、職場におけるソーシャル ネットワーキング サイトの使用を禁 止するポリシーを策定しても、従業員が自宅でオンラインに接続し、仕事について発言することを 止めることはできません。より広範なアプローチが求められます。 以上のような問題点があることから、企業は、ソーシャル ネットワークがもたらすリスクの管理につ いて真剣に検討する必要があります。このホワイト ペーパーでは、新たに出現している脅威と、ソー シャル ネットワーク対策に取り組む企業が採用すべき有効なプラクティスについて見ていきます。3 ソーシャル ネットワークと企業のセキュリティ 信頼できるコンピューティング - マイクロソフト
企業情報漏えいの脅威
たとえば、ちょうど食事をしてきたレストランや、これから観ようとしている映画など、個人的な出来 事を投稿するとします。新しいアパートへの引っ越しという報告でもよいでしょう。その投稿が仕事 にも関係する内容であると (まだその時点では仕事と私生活の境目が曖昧ですが) オンラインで の発言が企業セキュリティにかかわる問題となってきます。 企業の機密情報へのアクセス権を持つ従業員の大半は熟練したユーザーであるため、重要な情 報をそのまま公開することはありません。しかし、彼らにも、それ自体では取るに足りない断片的 なデータを無意識のうちに公開してしまう可能性はあります。その断片的なデータが、他の投稿と 互いに関連付けられることで、重大な機密情報の漏えいにつながることがあります。たとえば "職 場の緊急事態に対処しています" というツイート (Twitter への投稿) を考えてみましょう。この断 片的な情報は、それ自体では何も害はないように思えます。一般的に考えれば、このツイートは、 この人物がその晩は空いていないと友人に知らせていることになります。しかし、この人物よりも、 その勤務先の企業に関心がある者にとっては、このツイートが重要な足がかりになります。もし、 この人物が過去に "例の新しい取引先にかかりきりです" などの投稿をしておおり、さらにその投 稿の 1 週間前に "このプレス リリースを見てください。http://tinyurl.com/???? 私の取引先で す!" というような投稿をしていたとしたらどうでしょう。これら 3 件の投稿は、そのひとつひとつは 何の機密情報も漏らしていません。しかし、これら 3 つの情報をつなぎ合わせると、ある特定の 顧客との間で何らかの問題が起こっている可能性があることが判明します。こうした情報を利用し ようとするのは、競合企業の営業部門、他の顧客、投資家などさまざまです。LinkedIn でこの人 物のプロフィール (企業における役職、所属する部門など) を参照したり、同僚のプロフィールや 情報を検索したりすることで、背景となる情報を広く収集することが可能です。 考慮すべきもう 1 つの要素は、オンライン会話は永続的に保存されるという点です。友人とカプ チーノを飲みながら、うっかり企業の秘密を漏らしてしまった場合は、誰にも気付かれないで済む かもしれません。周りで聞き耳を立てている人々は、話している人の勤務先や役職といった背景 情報をまったく持っていないからです。これに対し、Facebook の掲示板や Twitter のストリーム にユーザーが投稿した内容は、過去 1 年間分がすべて記録として残っている可能性があり、後 から情報を掘り起こすことができます。 このペーパーの執筆中にインタビューした数人の CISO は、ソーシャル ネットワークを通じた情 報共有が急増していることに対し、企業の機密性をどう保つかということが今後数年間の重要課 題になると示唆しています。これは、ポリシーを設定するというような通常の手段では十分に対応 できない問題です。"オンラインで仕事の話をしない" というような単純なポリシーでは基準が不明 確です。Facebook で、アーカンソー州のベントンヴィルに来ていると投稿することはポリシー違反 になるでしょうか。大部分の人が違反とは思わないでしょう。しかし、その人の会社が Wal-Mart (ベントンヴィルに本拠を置くわずかな企業の 1 つ) と取引をしている事実が明らかになるとすれ ば問題です。 間接的な情報漏えいは、そのひとつひとつは害のないように見えるため、特に厄介です。普段は 慎重な人物が意識せずに公開してしまった断片的な情報が、総合的に分析されると深刻な機密 情報の漏えいへの第一歩となる可能性があります。こうした間接的な情報漏えいとなり得るもの には、他社との関係 (LinkedIn で見られる情報など) や出張先の場所の公開が挙げられます。 あるいは転職活動が活発になっていることが複数の従業員の間で確認されると、企業や部門の 経営不安を示す材料となるかもしれません。間接的な漏えいの具体的な例をいくつか以下に示し ます。転職活動: 自分が仕事を失うかもしれないと考えている人が、他の職を探す準備を始めるのは自 然なことです。たとえば、最も広く利用されているビジネス ソーシャル ネットワーキング サイトの 1 つである LinkedIn では、転職に先立ってよく見られる行為があります。転職を考えている人 は、まずプロフィールを更新し、同僚に推薦文を依頼するメッセージを送信します。そして今度は、 そのお返しとして他の同僚に推薦文を提供します。一般社員の間で推薦文のやり取りが急増する ことは、単に漠然とした不安の表れにすぎないのかもしれません。しかし管理職レベルとなると、こ のような行為はより大きな意味を持ちます。上級管理職の数人が転職活動を行っていることから、 近い将来の閉鎖、買収、合併、収益報告の赤字といった問題が露呈する可能性があります。 人間関係とコネクション: 人間関係やコネクションを観察することで、間接的な情報漏えいが生じ る場合もあります。LinkedIn や Facebook で、ある大企業の合併/買収業務に従事している人々 のコネクションを観察すると多くの情報が得られます (そのため、わかりやすい標的となっていま す)。また、2 つの企業の上級社員の関係を収集することで、より重大な情報が得られる場合もあ ります。新しい視覚化ツールを使用すると、このようなコネクションを観察および追跡することがで きます (これについては後述します)。1 人の従業員がビジネス関連のコネクションを追加するた びに、パズルのピースが 1 つずつはまっていくようなものです。2 つの企業間で芽生えつつある 人間関係は、新たな提携、買収、取引関係の構築に向けた布石なのかもしれないと、推測するこ とができます。 場所: たくさんのユーザーが、Twitter や Facebook に投稿する際にきわめて気軽に自分の居場 所を公開しています。Loopt、Tripit、Dopplr などの人気のあるソーシャル ネットワーキング サー ビスでは、簡単に位置情報を公開できます。自分の家でサンドウィッチを食べているとつぶやくだ けなら、何の害もありません。しかし、アーカンソー州ベントンヴィル (Wal-Mart 本社の所在地) やイリノイ州ブルーミントン (State Farm Insurance 本社の所在地) のような、多国籍企業が 1、2 社あるだけの小さな都市に出張するという発言からは、新たなビジネス関係が生まれつつあるの ではないかと推測することができます。競合企業の販売担当者のブログや Twitter のストリーム をさかのぼれば、販売/マーケティング部門の重要資産である顧客名や販売戦略を探り出すこと ができてしまうかもしれません。 攻撃者や競合企業の目標は、機密情報にアクセスすることから、オンライン上にある膨大な量の データから役に立つ情報を掘り起こすことに移っています。
情報の相互参照
オンラインで大量の個人情報を入手できるのは、今に始まったことではありません。画期的なのは、 こうした情報を容易に掘り起こしたり関連付けたりできるツールやテクノロジーが登場したことです。 こうしたツールは、オープン ソース インテリジェンス (OSINT) と呼ばれる新しいタイプのテクノロ ジーの 1 つです。テクノロジーに関わる人の多くは、ソース コードを一般に公開するという意味 の "オープン ソース" という言葉はすでにご存知でしょう。"オープン ソース インテリジェンス" は、一般に公開されている情報を掘り起こし、特定の人物、団体、企業、および政府機関に関する 情報を収集することを意味します。OSINT ツールを使用すると、ユーザーは膨大な量の互いに無 関係な情報から、関連性のあるデータやコネクションにたどりつくことができます。これらのツール の多くは、データやコネクションを視覚化し、そのコネクションを長期的に観察する機能を備えてい ます。オンライン上に断片的な情報が新たに投稿されるたびに、企業や個人の動向の全体像が より明確になっていきます。5 ソーシャル ネットワークと企業のセキュリティ 信頼できるコンピューティング - マイクロソフト 専用ツールの他にも、Bing や Google などの主要な検索エンジンでは、以前より細かい設定の 検索ができるようになっています。検索や専用ツールのこうした進化を考えても、企業は機密情報 の新たな保護策を検討し、従業員にはオンラインでの情報公開について、よりセキュリティ意識の 高い判断を促していく必要があります。
企業を守るには
企業の従業員がオンライン上に残していくデジタルの足跡が膨大に膨らんでいく可能性が大いに あり、企業を守るための新たな戦略が必要です。企業の CISO とこの問題を議論する中で、さま ざまな新しいアプローチが試験的に導入されていることがわかりました。その 1 つは、ポリシーを 策定して、勤務時間中のソーシャル ネットワーキング サイトの使用を禁止することです。ソーシ ャル ネットワーキング サイトを禁止するのは、情報漏えいを防ぐことではなく、勤務中に時間を 浪費させないようにすることが主な目的です。より広範なアプローチとして、多くの CISO が、ソー シャル ネットワーキング サイトへの投稿に対する意識を高めるセキュリティ意識向上プログラム を検討しています。 教育は、プライバシーに対する従業員の意識を高めるのに役立ちます。セキュリティと同様、プラ イバシーは、問題が発生して本人に危険が及ばない限りは軽視されがちです。そうした点を補う ため、意識向上プログラムでは脅威を前面に押し出し、自分が危険な状況に置かれた場合を想 像してみることを促しています。近年、プライバシーやオンライン上の発言に関して大規模な意識 向上キャンペーンが見られるようになっています。たとえば図 1 は、Insafe によるメディア キャン ペーンの資料です。Insafe は EU が支援する組織で、ヨーロッパの青尐年にインターネットの安 全な利用を呼びかけています。このキャンペーンでは、ビデオも使用して、オンラインに情報を投 稿することの危険性を視覚的に示しています。 図 1 "投稿する前に考えよう" という警告文の横で、マウスのアニメ キャラクターが顔を赤らめています。Insafe が大規模な キャンペーン用に作成したポスター、ビデオ、写真で、この画像が使われました。Insafe は、EU が支援する組織で、青尐年 にインターネットの安全な利用を呼びかけています。 セキュリティとプライバシーに対する意識向上プログラムでは、脅威の存在を強調すると共に、オ ンラインに公開された情報が企業に不利な影響をもたらした具体的な事例も挙げられています。 また、人々が機密保持に関するポリシーを明確に理解し、それをオンラインでの日常的な活動に 関連付けて考えられるように説明するものもあります。この 1 年の間に、多くの企業、国、団体が プライバシーに関する意識向上の推進に着手しています。図 2 はバハマの首都ナッソーの地方 新聞に掲載された公共広告で、オンラインに投稿する情報についてよく考えるように市民に呼び かけています。 同様のキャンペーンが企業や国のレベルで登場し始めています。いくつかの企業の CISO は、ソーシャル ネットワーキングとその危険性に関する内容を今後のセキュリティ意識向上キャンペー ンの中に取り入れることを計画しているようですが、現在行われているキャンペーンにはまだほと んど盛り込まれていないようです。
図 2 – Bahamas Telecommunication Corporation (バハマ政府所有の公益企業) が作成した公共広告で、Facebook には内 容をよく考えてから投稿するよう、市民に方言で呼びかけています。このような意識向上キャンペーンが国や企業のレベルで 登場しています。 ソーシャル ネットワーキング アプリケーションの人気は今後も続くと予想されるため、企業はあら ゆる潜在的なリスクを管理する必要があります。主要なソーシャル ネットワーキング サイトのいく つかは、この 1 年の間にセキュリティ意識向上に向けた戦略を打ち出していますが、こうした対 策は、企業の利益を守るには十分でない可能性があります。たとえば、情報の公開を特定の "友 人" だけに制限することが可能ですが、その効果には疑問が残ります。セキュリティ会社 Sophos の最近の調査では、"誰とでも友人になる"、すなわち、実生活で面識のない人からの友人リクエ ストに応えるというユーザーが 40 % 近くにも上ることが明らかにされています。セキュリティ対策 はソーシャル ネットワーキング サービス企業の手に委ねるべきではありません。こうした企業の 第一の目的は、ユーザーどうしをもっと結びつけることであって、引き離すことではないからです。 攻撃者や競合他社による情報収集という脅威から企業が身を守るには、ポリシーと教育が主な防 御策となるでしょう。幸い、自分の企業について間接的な情報漏えいを行う従業員の大半は、悪 意からそうしている訳ではないので、そこでセキュリティ教育と意識の向上が重要になり、また効 果も期待できます。ソーシャル ネットワーキング サイトにセキュリティとプライバシーの意識が浸 透するまで、企業は、従業員がオンラインで共有する情報についてより適切な判断を行うよう支援 し、啓発していく必要があります。
