ISACA
- 1. +
ソーシャルメディアにおける
リスクと対策
Copyright (c) 2013 Page 1
- 2. 講師の紹介
守屋 英一(もりや えいいち)
情報セキュリティ推進室兼、
IBM Computer Security Incident Response Team
■経歴・担当業務
l 2001年より10年間、セキュリティ・オペレーション・センターの運用責任者
l 2011年より、社内の事件事故対応およびISMS内部監査を担当
l 2012年より、グローバルのサイバー攻撃対応チームでコンピュータの解析を担当
■社外活動
l シーサート協議会 運営委員
l JNSA SNSセキュリティWG メンバー
l 不正アクセス防止対策に関する官民意見集約委員会 委員
l 経済産業省 CTAPP 運用・技術WG 構成員(2012年)
l 内閣官房情報セキュリティセンター「ウイルスの振る舞い分析」構成員
(2009年)
l サイバークリーンセンター研究員(2006年)
■著書
l 2012年6月20日「フェイスブックが危ない」を文藝春秋より出版
■受賞
l 2012年度JNSA表彰個人の部を受賞
Copyright (c) 2013 Page 2
- 8. 2012年10月国内のSNS登録者数
LINE
3,200万人
Facebook
1,600万人
Line Facebook Twitter mixi Google+
※グラフは、ニールセン 2012年11月ニールセン・インターネット視聴率およびNHN Japanのプレスリリース情報を元に作成
|
13/02/12
Copyright (c) 2013 Page 8
- 9. SNS活⽤用⽅方法が議論論されています。
売上高
広告
UPへの活用
コスト削減
製品開発や
マーケティングに 社長
活かせます
情報漏えいの
リスクは?
社長室
マーケティング
営業
製品開発
法務
人事
どんどん、
営業活動に
お客様の意 名誉毀損や 新卒採用に
情報発信したい
利用できない 見を聞きたい
著作権違反 利用したい!
か?
などが不安
Copyright (c) 2013 Page 9
- 10. SNSをビジネスで活⽤用する⽬目的
l ⼝口コミの⼒力力を利利⽤用し、企業、商品/サービスのファンを拡⼤大
n 友⼈人・知⼈人からの情報を信頼する傾向あり
l コストをかけずに情報発信
n ターゲティング広告の利利⽤用
l 双⽅方向のコミュニケーション
n 評価や意⾒見見交換の促進
Copyright (c) 2013 Page 10
- 11. 建設機械業界におけるSNSの利利⽤用情況
l 売上が高い企業ほど、ソーシャルメディアを活用し、お客
様とのコミュニケーションの変革を行っています。
順 売上
facebook twitter YouYube
社名
位
(百万US$)
いいね数
開始時期
ツイート数
フォロワ数
登録者数
再生回数
開始時期
1 Caterpillar 18,848 109,000 2011年5月11日
1,520 28,825 7,539 9,669,35 2008年5月13日
2 コマツ
9,871 27,733 2010年1月21日
127 4031 237 87,899 2010年月21日
3 Terex 5,000 7761 2009年8月19日
574 1157 209 114,212 2009年8月3日
4 John Deere 4,214 1,500,000 ?
1,655 33,184 10,334 5,687,246 2005年11月15日
5 日立建機
4,187 - - - - - - -
6 Liebherr 3,781 23,336 2012年4月21日
- - - - -
Volvo Construction
7 3,654 4251 2011年8月4日
2820 3,529 8,571,615 2009年1月15日
Equipment
8 CNH (Const Div..)
3,545 - - - - 21 15,446 2010年9月9日
9 Ingersoll-Rand 3,269 20,651 2009年6月23日
1,026 2,083 297 96,428 2009年10月27日
10 J. C. Bamford Excavators 2,180 - - - - - - -
11 コベルコ建機
1,956 - - - - - - -
12 Doosan (旧大宇) 1,348 179 - - 509 - - -
13 Atlas Copco 1,332 - - - 4043 - - -
14 タダノ
951 - - - - - - -
15 現代重工
810 - - - - - - -
16 住友建機
716 - - - - - - -
出典:売上げデータ2004 年世界建設機械メーカ市場シェア推定(大手 16 社)
Copyright (c) 2013 Page 11
- 13. みずほフィナンシャルグループ様(2011年年8⽉月28⽇日)
l SNSでは、CSR活動を中⼼心に情報を公開
みずほコーポレート銀行 みずほの社員とその家族は、
バンコック支店は、タイの4 大阪市・淀屋橋周辺の清掃
大学の学生に奨学金を贈 ボランティアを行いました。
呈しました。
これは、みずほの世界の各
奨学金は「みずほアジア 拠点が同時期にボランティア
人材育成基金」から拠出さ 活動を行う「MizuhoVolunteer
れたものです。
Day(みずほボランティア
デー)」の一環として、実施し
たものです。
2012年11月1日、みずほフィ みずほは、震災復興支援の一
ナンシャルグループの佐藤 環として、東日本大震災で被
社長が、大阪で開催された 災され、全国各地に避難され
国際金融会議Sibos(サイボ ている宮城県の方々への情報
ス)のジャパン・デー開会式 提供の支援を行っています。
において、開会の挨拶をし 具体的には、宮城県が発行す
ました。
る震災復興関連情報冊子等を、
Sibosとは、SWIFT(スイフト: 全国のみずほ銀行のロビーに
国際銀行間通信協会)が毎 設置し、被災されたお客さまへ
年秋に開催する、金融業界 幅広くご案内しています。
で世界最大規模の国際会議
です。
出典:https://www.facebook.com/mizuhofg
Copyright (c) 2013 Page 13
- 15. facebookは多様な情報登録が可能
顔
誕生日
趣味
年齢
性別
学歴・職 交際中
歴
既婚・未婚
住んでる
最近の
市区町村
名前
出来事
Copyright (c) 2013 Page 15
- 18. リスクとは?
リスク リスク 意思
回避
の認知
の評価
決定
テイク
n リスクの認知
n リスクをとっている自覚が無い場合、失敗する確率は高まる
n リスクの評価
n リスクを甘く見る、失敗に結びつきやすい。
n リスクの過大評価は、ベネフィットをとり逃す。
n 意思決定
n 予期せぬ事態の遭遇
n リスクの回避/テイク
n 技術や能力が不足していて回避に失敗
出典:事故がなくならない理理由 安全対策の落落とし⽳穴(PHP新書) Copyright (c) 2013 Page 18
- 19. SNSにおける4つのリスク
ブランド毀損
発言
法律
過失 違法
認識
攻撃
Copyright (c) 2013 Page 19
情報漏洩
- 20. SNSにおける4つのリスク
ブランド毀損
発言
法律
過失 違法
認識
攻撃
Copyright (c) 2013 Page 20
情報漏洩
- 24. ソーハラ事例例
n
自分の投稿に反応しろと圧力をかけてくる
「うちの社内で俺の書き込みにいいね!しないのお前だけなんだが」や「
〇〇部長の書き込みにコメントしないなんて失礼なんじゃないのか」とチ
クチク言われるようになった。
n 意識されたい下心が見え見えの投稿をしてくる
A子に「何が好き?」と尋ね、食べ物や気になると話したことを、目に付
くような形で投稿してくるのがウザイ。
n 投稿した写真をダウンロードしている おじさんのスマートフォンに、
A子がフェイスブックにあげた写真が入っていたそう。サクラの花だった
からいいけど、もし自分の顔写真とか保存されているかと思うと、ちょっ
と気持ち悪い。確かに簡単にダウンロードできるけど…。
n すべてのSNSでつながろうとする フェイスブックの情報からニックネ
ームやアカウント名などを割り出して、ツイッターやミクシィ、最近流行
りのパスなどでもフォローや友達申請をしてくるのが怖い。
出典:http://www.j-cast.com/kaisha/2012/04/10128386.html?p=all Copyright (c) 2013 Page 24
http://blog.livedoor.jp/goldennews/archives/51734433.html
- 25. ソーハラが発⽣生する原因
上司
部下
SNSにおける相手 パブリック
SNSを アクセス制限が
との距離感が
公私混同
不十分
読めていない して使用
• 部下がプライベート • 公開範囲を友達だけに限
で利用しているSNS 定する。
に対して公私混同 • 上司からアカウントが見
• 会社の上司としては つからないように検索をOF
、部下と仲良くなり Fにする。
たい? • 会社関係者をブロックリ
• 会社関係者以外に友 ストに追加し、アカウン
達関係を作る相手が トへのアクセスを制限
いない する。
Copyright (c) 2013 Page 25
- 27. SNSにおける4つのリスク
ブランド毀損
発言
法律
過失 違法
認識
攻撃
Copyright (c) 2013 Page 27
情報漏洩
- 30. 転職・就活へのSNS利利⽤用状況
就職活動でSNSを利用する人の割合は47%!
就活へのSNS利用
SNS利用
SNS利用しない
47%
53%
出典:大学3年生を対象にしたソーシャルリクルーティング調査を実施
活用状況 調査期間: 2012 年 1月 7 日~11 日
対象:関東 1 都 3 県および関西の 2 府 2 県に居住する男女それぞれ
答数:150名
URL:http://www.dentsu-pr.co.jp/news_releases/20120131.html
Copyright (c) 2013 Page 30
- 31. 求職者のSNSを採⽤用時に確認!
• 求人サイトのCareerBuilder.com • 米国では、従業員や就職希望
は2008年9月10日,人事担当者
のSNS利用状況に関する調査結 者が雇用者から仕事と引き替え
果を発表した。人事担当者の にSNSのパスワードを開示する
22%がSNSを使って就職希望者 よう要求されたとして問題になっ
の情報を集めており,2006年調 ている。
査時の11%から大幅に増加し
た。
• 全米労働関係委員会には、同
様の問題に関する苦情が129件
寄せられている。
SNS不採用理由ベスト5
1位 飲酒やドラッグ服用(41%) • 雇用者のパスワード開示強要
2位 不適切な画像・情報(40%) 行為を禁じる法案、カリフォルニ
3位 コミュニケーションの能力(29%) ア州下院を通過
(AB
1844法案)
4位 会社や同僚への悪口(28%)
出典:http://itpro.nikkeibp.co.jp/article/NEWS/20120514/396290/
5位 資格詐称(27%)
※アメリカ大学の25%が入学志願者のSNSをチェックしている
出典:http://itpro.nikkeibp.co.jp/article/Research/20080912/314680/
Copyright (c) 2013 Page 31
- 32. 求⼈人者の素⾏行行調査
• ビジネスマンと法律実務家のためのIT法入門の著者、石井邦尚弁護士
• 使用者による応募者の個人情報の取り扱いについては、個人情報保護法や民法上の不法
行為(プライバシー侵害など)が適用される他、職業安定法5条の4でも規制されている。
• 職業安定法第5条の4は、「公共職業安定所等は、それぞれ、その業務に関し、求職者、募
集に応じて労働者になろうとする者又は供給される労働者の個人情報(以下この条におい
て「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たっては、その業
務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的
の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合そ
の他正当な事由がある場合は、この限りでない」と定められており(なお、同条項の「公共職
業安定所等」には企業も含まれる。)、原則として収集できる情報は業務目的達成に必要な
範囲に限定されるという。また、同条項に関して出されている厚生労働省(旧労働省)の告
示(平成11年労働省告示第141号)では、「(求職者等の)個人情報を収集する
際には、本人から直接収集し、又は本人の同意の下で本人
以外の者から収集する等適法かつ公正な手段によらなけれ
ばならない」としている。
Copyright (c) 2013 Page 32
- 33. 情報を7年年間も保存
• たとえサイトに投稿した情報を
後から削除しても、過去の情報
として他のコンピュータには
残っており、ネット上で流され続
けるかもしれない。
• ソーシャル・インテリジェンス(SI)
は、フェイスブックの情報を過
去7年分保存している。例え
ば、就職活動で不利になりそう
な情報を削除しても、SIに連絡
すれば過去の情報が確認でき
るのだ。
Copyright (c) 2013 Page 33
- 34. SNSにおける4つのリスク
ブランド毀損
発言
法律
過失 違法
認識
攻撃
Copyright (c) 2013 Page 34
情報漏洩
- 36. OAuth2.0の技術を利用
アプリの仕組み
①認可要求
Facebook Facebook
ユーザ ②ユーザ認証 サーバ
③認可コード
③認可コード
①認可要求
Facebook ④アクセストークン要求
アプリ
⑤アクセストークン
出典:スマートにプログラミング facebook アプリ開発 p14
Copyright (c) 2013 Page 36
- 37. スパムアプリ利利⽤用状況
Number
APP Name
Informa.on
which
can
be
accessed
1300万人
Badoo
• 基本データへのアクセス
• メールの送信
• 自分の名前を使ったFacebookへの投稿
80万人
Friends
Photos
• 基本データへのアクセス
• メールの送信
62万人
GreeKngs
• 基本データへのアクセス
• メールの送信
• 自分の名前を使ったFacebookへの投稿
• データへのアクセスを常に許可
• 他の人が私と共有した情報へのアクセス
36万人
Cards
• 基本データへのアクセス
• メールの送信
• 自分の名前を使ったFacebookへの投稿
• データへのアクセスを常に許可
• 他の人が私と共有した情報へのアクセス
32万人
YouLike
• メールアドレス
• あなたのプロフィール情報:
生年月日、出身地、好きなもの、位置情報
• あなたの写真
Copyright (c) 2013 Page 37
- 38. 位置情報によるリスク
〜逗子ストーカー殺人事件〜
神奈川県逗子市でデザイナーの三好梨絵さんが自宅で刺
殺され、元高校教師の小堤英統容疑者がベランダで首
をつって死亡していた。
2004年 知り合い交際を始めたが、翌年には別れた
2010年 三好さんが結婚したことを知りメールを送る
2011年3月 再び大量のメールが届くようになった
2011年6月 逮捕する際、名字や転居先を読み上げる
2011年9月 懲役1年執行猶予3年の有罪判決
2012年11月 三好さんを殺害
Copyright (c) 2013 Page 38
- 40. ジオタグとは?
Copyright (c) 2013 Page 40
- 42. 共通点は何でしょうか?
クイズ
スクリーンをご覧ください
Copyright (c) 2013 Page 42
- 47. メッセージを使った「なりすまし」
Aさんは、Bさんが自分
メールソフトを細工して に成りすまして、
Aさんに成りすまして 守屋にメールを送信した
守屋宛にメールを送信
事実はわからない。
?
守屋は、Aさんからのメールであると誤認する
Copyright (c) 2013 Page 47
- 49. SNSにおける4つのリスク
ブランド毀損
不適切
法律
な発言
過失 違法
認識
攻撃
不足
Copyright (c) 2013 Page 49
情報漏洩
- 59. ガイドライン3つの基本
ルールを守る
個人情報/プライバシーの保護/名誉毀損
機密情報の保護
著作権や肖像権、商標権の尊重と保護
発言内容(相手を思いやる)
誹謗中傷や差別的表現の禁止
価値のある情報を提供する
やれせ行為の禁止
責任を持つ
発言が所属組織と関係ない旨を表明する
違反した場合の罰則を設ける
相手からの指摘に対して真摯に対応する
Copyright (c) 2013 Page 59
- 60. セキュリティを考慮したガイドライン
n 不正アクセスの防止
2段階認証を利用する
アクセス権限を適切に設定する
SNSも監視可能なアンチウィルスソフトを利用する
n 情報漏洩の防止
公開範囲を設定する
むやみに友達リクエストの承認は行わない。
アプリを利用する際は、情報へのアクセスを確認
する
n プライバシーの保護
むやみに写真の位置情報登録を登録しない
タグ付けについて事前承認を求める設定にする
アプリによって共有させる情報を制限する
Copyright (c) 2013 Page 60
- 61. まとめ
1 4つのリスクを認識識する!
2 ケースステディを実施する!
3 SNSの使い方も含めた研修を行なう!
- 62. ありがとうございました
facebook
Linkdin:http://jp.linkedin.com/in/moriyachi
twitter:https://twitter.com/moriyachi
facebook:https://www.facebook.com/moriyachi
Google+:http://gplus.to/moriyachi
Youtube:http://www.youtube.com/channel/UC9mPoIR2-‐‑‒aQClKSEYESgMcQ
Copyright (c) 2000-‐‑‒2012 Page 62
- 63. フェイスブック印税寄付プロジェクトのご報告
• 2012年6月20日に本を出版させて頂き、出版社より印税を頂きました。本
のあとがきでも説明しましたが、本の印税(44万9,820円)は東日本大震
災の義援金に使わせて頂きました。皆様には、フェイスブック印税寄付プ
ロジェクトにご協力頂き誠にありがとうございました。
- 67. 広告媒体として効果について考察!
順位
媒体
内容
ランキング
上昇
1位
1000位→300位
700位
↑UP
2位
700位→200位
500位
↑UP
3位
430位→70位
360位
↑UP
4位
380位→130位
250位
↑UP
5位
520位→420位
100位
↑UP
6位
250位→400位
150位
↓Down
67
- 68. n Eiichi Moriya 2013. All Rights Reserved.
n ワークショップ、セッション、および資料は、セッション発表者によって準備され、それぞれ独自
の見解を反映したものです。それらは情報提供の目的のみで提供されており、いかなる参加者
に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生
むものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよ
う努力しましたが、「現状のまま」提供され、明示または暗示にかかわらずいかなる保証も伴わ
ないものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連
によって、いかなる損害が生じた場合も、責任を負わないものとします。 本講演資料に含まれて
いる内容は、保証または表明を引きだすことを意図したものでも、またそのような結果を生むも
のでもありません。
n 本講演資料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の
向上、またはその他の結果が生じると述べる、または暗示することを意図したものでも、またそ
のような結果を生むものでもありません。 個々のユーザーがここで述べられているものと同様
の結果を得られると確約するものではありません。