Web 2.0時代のセキュリティ対策［前編］
ソーシャル・メディアのセキュリティ・リスク

ブログ、Wiki、SNS、ビデオ共有……便利だが危険と隣り合わせのWeb 2.0

（2007年07月24日）

ここ1、2年ですっかりおなじみの存在になった、ブログやWiki、SNS（ソーシャル・ネットワーキング・サービス）、ビデオ共有サービスなどのソーシャル・メディア。複数のユーザーによる情報共有、協調作業が容易な点が評価され、これらを企業で活用する動きも活発化している。だが、ソーシャル・メディアの多くは便利で、革新的でもあるが、企業のITマネジャーや情報セキュリティ担当者にとっては悩みの種の1つにもなっている。本稿では、これらのツールが抱えるセキュリティ・リスクをいかにして最小限に抑えるかについて考えてみたい。

メアリー・ブランデル
Computerworld米国版

もたらされるメリットと
発生しうるリスク

　米国の通信サービス・プロバイダー、グローバル・クロッシングの広報部が昨年、従業員のコミュニケーション向上のため、ブログの活用を計画したときのことである。同社のセキュリティ担当バイスプレジデントのマイケル・ミラー氏は広報部に、必ず自分をプロジェクト会議に参加させるよう頼んだ。

　「セキュリティ部門の人間であれば、たいてい『この活動をいかに制限するか』という反応を示すはずだ。だが、われわれは従業員にどういう責任を負わせるのか、何を許し、何を許さないかという観点から、社内でのブログの利用に明確なガイドラインを定めたかった。かたくなに阻止しようとしても、従業員はそれをうまくかわす方法を見つけようとするからだ」

　今、多くの企業では、従業員が勤務時間中に会社のPCを使ってブログに書き込みをするのを制限すべきか、ブログの内容を監視すべきか、できるだけ会社の公式ブログで活動するよう仕向けるべきか、そして、ブログの活動に関する規則をどうやって決めるかなど、このツールに関する多くの問題に取り組んでいる。また、企業のLANを「MySpace.com」や「iTunes」「Flickr」「YouTube」といった、ある種“何でもあり”のWeb 2.0の世界に開放してよいものか、という声も少なからず上がっている。

　「MySpaceやYouTubeは、企業からすれば、ウイルス／ワームやスパイウェアなどのマルウェアにつけいるすきを与える危険性が非常に高い」と、米国の調査会社ガートナーのアナリスト、アラベラ・ハラウェル氏は警告する。その手のウイルス／ワームとしては、「Yahoo! Mail」ユーザーを攻撃する「Yamanner」や、MySpaceユーザーの間で広まる「Samy」が有名だ。

　結局、ブログを巡るジレンマとは、従業員間のコミュニケーションや協調作業の円滑化、さまざまな意見をすくうことのできる顧客との新たなコミュニケーション・チャネルの開設といったメリットと、情報漏洩・流出や従業員の私的利用行為といったリスクを天秤にかけるということなのだ。

　シカゴの法律事務所、ニール・ガーバー＆アイゼンバーグのITマネジャー、ダイアナ・マッケンジー氏は、機密情報の流出は数ある脅威の1つにすぎないと話す。同氏は、ほかにも、職場内での嫌がらせや誹謗中傷、証券取引法違反、著作権や商標といった知的財産の乱用などの問題があることを指摘する。

　「公開前のIR情報を、従業員がうっかりブログに書いてしまうことはめずらしくない」とマッケンジー氏。同氏によれば、会社が防犯用の隠しカメラを、オフィスのどこに設置しようとしているかをブログで暴露した従業員もいたという。

ポリシー策定時の留意点

　企業でブログやSNSなどのソーシャル・メディアを利用するにあたってはきちんとポリシーを策定する必要がある。これで少なくとも法律上のトラブルは回避できるはずだが、その努力さえ怠っている企業も少なくない。Computerworld米国版が113人のITマネジャーを対象に実施した調査では、従業員によるソーシャル・メディアの利用についてポリシーを定めているとした回答者は半数をわずかに上回る程度だった（図1）。

図1：ソーシャル・メディアの利用に関する調査

　「ブログ利用のポリシーを決める際、IT/IS部門はそれをどこまで厳格にしてよいかを判断するために、法務部と人事部の協力を仰ぐべきだ。ブログは企業にとっての多くの複雑なグレーゾーンの問題を浮き彫りにする」とハラウェル氏はアドバイスする。同氏によると、例えば、法律やその企業が属する業界団体の合意の中には、政治活動や職場の安全に関する問題を議論することを企業が禁じてはならないとしているケースもあるという。

　ミラー氏は、ポリシー策定のたたき台として、同社で以前に策定した、IT利用時のルールやモラルについてのガイドラインを利用した。「ブログのポリシーを策定するうえで参考にしたのは、電子メールの使用ポリシーに関する記述だ。機密情報と知的財産の保護の観点で、両者の運用に共通項は多い」（ミラー氏）

　ポリシーを策定する作業自体はさほど難しくなかったとミラー氏。同氏が策定したポリシーでは、ルールに従ってさえいれば、従業員がブログの開設や他のブログへのコメントなどを行えることになっている。ルールとは、例えば、同社の従業員であることを明かして業務にかかわる内容をブログに記す場合は、「このブログに書かれている意見は、必ずしも会社の見解を代弁するものではない」と断り書きを入れる必要がある、といったものだ。

　ポリシーには、ブログの“炎上”（内容に対する批判などのコメントが大量に書き込まれた状態）を避けるため、「敵対的な投稿の禁止（doing no harm）」という条項も盛り込まれている。「投稿内容は本人の人格、考え方の表れであることをしっかり念頭に置くよう指示している。感情的になっているときは投稿しないで、まず頭を冷やすことだ」とミラー氏。

　このポリシーは、ブログを開設する従業員を対象にするだけでなく、グローバル・クロッシングのイントラ・ブログにも適用される。イントラ・ブログでは、それぞれ特定の問題を担当する6人の従業員にスポットライトを当てている。「コミュニケーションの幅を広げるのはよいことだが、トラブルにならないようしっかり管理して適切な施策を講じる必要がある」とミラー氏は話す。

｜1｜2｜3｜ > 次のページへ