ホワイトペーパー: WEB セキュリティ ホワイトペーパー: WEB セキュリティ Facebook のジレンマに 立 ち 向 かう
WEB セキュリティ 目 次 はじめに 1 長 所 と 短 所 1 ネット 犯 罪 と Facebook 1 Facebook 脅 威 の 例 3 どのようなポリシーを 使 用 すべきか 効 果 はあるのか 3
はじめに つなぐ 共 有 する 果 たして 上 手 くいくのか Facebook は 単 なるソーシャルネットワーキングツールではありません 1 つの 社 会 現 象 であり 同 時 に ビジネスに 深 刻 なジレンマを 突 き 付 けています 従 業 員 にアクセスを 許 可 し サイバー 脅 威 のパンドラの 箱 を 開 ける 危 険 を 冒 すべきか 全 面 禁 止 にして コミュニケーションとコラボレーションの 貴 重 な 手 段 を 失 うのか それとも 使 用 は 許 可 しても 何 らかの 方 法 で 制 限 する という 妥 協 案 を 選 択 すべきでしょうか 本 ホワイトペーパーでは Facebook のメリットとデメリットを 比 較 検 討 し どのようなポリシーを 導 入 した 場 合 でも 企 業 の 安 全 を 守 る 方 法 を 示 します 長 所 と 短 所 Facebook は 国 中 を 魅 了 しました 今 や 950 万 人 を 超 えるオーストラリアの 人 々が Facebook ユー ザーです 1 日 本 でも 月 間 ログインユーザー 数 が 1000 万 人 を 超 えています 2 その 主 な 目 的 は 社 交 上 のも のかもしれませんが Facebook は 実 際 のビジネスの 機 会 も 提 供 します 連 絡 先 のネットワークを 拡 充 し 知 識 を 蓄 え アイデアを 共 有 し 優 秀 な 人 材 を 勧 誘 し 顧 客 およびパートナーとの 関 係 を 構 築 する これ ら 主 要 なビジネスプロセスを コストを 抑 えながらより 簡 単 に かつ 効 果 的 に 遂 行 できるようになり 従 業 員 の 意 欲 仕 事 の 満 足 度 チームスピリットを 高 めることができます しかし 長 所 には 短 所 がつきものです Facebook は 中 毒 性 が 強 く 一 部 の 企 業 は 就 業 時 間 中 のアクセス を 従 業 員 に 許 可 したことを 後 悔 し 低 下 した 生 産 性 のコストを 清 算 する 状 況 に 追 い 込 まれています あま りにも 頻 繁 に 起 こる 問 題 であるため ソーシャルネットワーキング という 言 葉 が 辞 書 に 現 れ 始 めてい ます この 媒 体 が 持 つ 気 軽 な 雰 囲 気 によっても 従 業 員 は 深 刻 な 判 断 ミスを 犯 しやすくなります 特 に 勤 務 時 間 外 に 自 宅 やその 他 の 状 況 で 会 社 のハードウェアを 使 用 する 場 合 は 心 理 的 に 普 段 の 職 場 での 制 約 が 適 用 されないように 思 えてしまうのです その 場 の 雰 囲 気 に 乗 せられて 貴 重 な 機 密 情 報 を 漏 らしたり 顧 客 や 競 合 他 社 についてその 場 限 りのコメントをしたりしがちですが これは 重 大 な 結 果 を 招 きかねませ ん また 雇 用 者 にも 法 的 責 任 が 負 わされるため 時 間 がかかり 財 務 上 の 損 失 となる 数 々の 事 象 の 発 端 にもなりかねません 危 険 はこれだけにとどまりません ネット 犯 罪 と Facebook インターネットユーザーがいるところには ネット 犯 罪 者 がついて 回 ります Facebook のけた 外 れの 規 模 では こうした 犯 罪 者 を 取 り 締 まることは 実 質 的 に 不 可 能 です ネット 犯 罪 者 は ユーザーをだまして 罠 にかけるために 驚 くほど 多 種 多 様 な 不 正 な 手 法 の 組 み 合 わせを 考 え 出 しています 3 アカウントの 乗 っ 取 り 悪 質 なアプリケーションの 流 布 偽 の ゴースト アカウントの 開 設 Facebook を 装 うなど 被 1 Nick Burcher, Facebook Usage Statistics December 31st 2010 vc Dec 31st 2009 vs Dec 31st 2008, http://www.nickburcher.com/2011/01/facebook-usage-statistics-dec-31st-2010.html 2 http://internet.watch.impress.co.jp/docs/event/fmc/20120319_519798.html 3 Facebook (C) 2011, Facebook Security, http://www.facebook.com/security?v=app_4949752878 1
害 者 の PC に( 感 染 した Web リンク 経 由 でなどで)マルウェアを 埋 め 込 んだり 個 人 情 報 を( フィッ シング メール 経 由 などで) 入 手 したりするために 数 多 くの 戦 略 を 採 用 しています 今 日 のマルウェアは 実 際 にビジネスに 打 撃 を 与 える 可 能 性 があります ネットワークをフリーズさせた り PC をボットネットの 乗 っ 取 り 対 象 にさせたりするウイルス ブラウザのふるまいをのぞき 見 するスパ イウェア 利 益 に 結 び 付 く 可 能 性 のある 機 密 情 報 を 入 手 しようとひそかに 潜 り 込 むトロイの 木 馬 など ほ とんどすべてのマルウェアが Facebook を 介 して 増 殖 できます 中 には Facebook を 悪 用 するために 開 発 されたものもあります たとえば Koobface ワームは すでに 感 染 している PC を 使 用 中 の Facebook ユーザーが 友 達 にメッセージを 送 信 することで 広 がります ソーシャルエンジニアリングは 今 やネット 犯 罪 に 不 可 欠 な 要 素 であり Facebook 経 由 の 個 人 情 報 の 漏 え いは 企 業 にとっても 同 様 に 脅 威 となり 得 ます たとえば ユーザーの 名 前 年 齢 役 職 は 特 定 の 会 社 や 個 人 を 狙 うスナイパーのような 攻 撃 の 外 見 をもっともらしく 装 うために 利 用 されることがあります よく 知 っている 相 手 から 来 たかのようなメールに マルウェアに 感 染 した 添 付 ファイルや 感 染 した Web サイ トへのリンクが 含 まれることになります ネット 犯 罪 者 は Facebook そのものを 攻 撃 ベクトルとして 利 用 するだけでなく 成 功 率 を 最 大 化 す るために Facebook の 名 前 を 悪 用 します スパム フィッシング 悪 質 なメール(URL も 同 様 )は ス パムフィルタをすり 抜 け その 他 の 防 御 策 の 裏 をかき 巧 みな 言 葉 で 受 信 者 を 安 心 させようとして 件 名 本 文 添 付 ファイル 名 Web リンクなどで Facebook を 引 き 合 いに 出 します Cutwail ボットネットは 開 くと 強 力 なトロイの 木 馬 である Bredolab がダウンロードされる 添 付 ファ イルを 広 めるため Facebook からの 通 知 を 装 ったメールを 多 用 しました 全 体 的 な 脅 威 の 件 数 も 少 なくありません シマンテック ドット クラウドでは 数 え 切 れないほどの 例 が 検 出 されています Facebook 関 連 の 脅 威 の 多 さは 次 の 数 字 に 表 れています スパムの 2% これは 全 世 界 で 毎 日 送 信 される 20 億 ~ 30 億 通 のメールに 相 当 します マルウェアの 1.4% 世 界 規 模 で 大 きな 問 題 であることがわかります 2
Facebook 脅 威 の 例 シナリオを 挙 げるときりがありませんが 次 の 例 で 企 業 が 経 験 する 可 能 性 のある 問 題 の 傾 向 がわかりま す 1. ネット 犯 罪 者 が ゴースト アカウントを 開 設 して ある 従 業 員 と 友 達 になり ウォールに Web リ ンクを 投 稿 します この 従 業 員 がそのリンクをクリックすると データを 窃 取 するトロイの 木 馬 が PC にダウンロードされます 2. ある 従 業 員 が 不 注 意 で 悪 質 なアプリケーションをインストールしてしまいます このアプリケーション は 友 達 の Facebook データを 取 得 して すべての 友 達 に Web リンク 付 きのメッセージを 送 信 しま す それらの 友 達 の 1 人 (この 場 合 は 別 の 従 業 員 )がリンクをクリックすると ウイルスがダウンロー ドされ 彼 らの PC がボットネットに 組 み 入 れられます 3. Facebook から 来 たように 見 えるメールが ある 従 業 員 に 対 し パスワードと 詳 細 なログイン 情 報 を 更 新 するように 求 めています しかし このメールはネット 犯 罪 者 が 送 り 付 けたフィッシングメールです ネット 犯 罪 者 は その 詳 細 情 報 を 使 ってスパムを 送 信 し 被 害 者 とその 友 達 に 関 する 情 報 を 収 集 します この 情 報 は その 従 業 員 の 所 属 企 業 に 標 的 を 絞 ったトロイの 木 馬 攻 撃 を 開 始 するために 使 用 されます 4. ある 従 業 員 が 見 たところ 無 害 に 思 える Facebook Web リンクを 含 むメールを 受 け 取 ります そこで 職 場 から Facebook にアクセスし リンクをクリックすると ポルノサイトに 接 続 されます この 従 業 員 は そのような 情 報 から 十 分 に 保 護 されていなかったとして 会 社 に 賠 償 を 請 求 します どのようなポリシーを 使 用 すべきか 効 果 はあるのか あなたの Facebook ポリシーには 自 分 のビジネスの 特 性 が 反 映 されていなければなりません 会 社 の 企 業 文 化 目 標 などに 照 らしてメリットとデメリットを 比 較 検 討 してください 大 まかにわけると 次 の 3 つ の 選 択 肢 がありますが それぞれに 固 有 の 課 題 があります 1. 無 制 限 のアクセス - ただし 悪 質 なアプリケーション 偽 装 したマルウェア ポルノサイトへのリン クなどからユーザーを 安 全 に 守 る 必 要 があります 2. 使 用 制 限 - 設 定 可 能 な Web フィルタ 機 能 を 利 用 して アクセスを 特 定 の 時 間 帯 や 特 定 のユーザー グループに 制 限 します 3. 全 面 禁 止 - このポリシーは 従 業 員 が 職 場 で または 会 社 のネットワーク 経 由 で 自 宅 などから Facebook にアクセスすることを 防 ぐことができる 柔 軟 な Web フィルタリングテクノロジを 使 って 導 入 可 能 です どのような 方 法 を 選 ぶとしても 選 んだポリシーが 効 果 的 に 実 施 されることを 保 証 するためには どうす べきでしょうか? 意 識 向 上 のための 教 育 やトレーニングを 実 施 し ポリシーに 重 点 を 置 いて ポリシーに ついて 説 明 し 全 面 禁 止 ではない 限 り Facebook の 適 切 で 慎 重 な 利 用 方 法 を 促 進 することが 不 可 欠 です しかし それだけでは 十 分 ではありません シマンテック ドット クラウドが 提 供 する シマンテック Web セキュリティ ドット クラウドは あら ゆる 種 類 の Facebook ポリシーを 実 施 できる 包 括 的 で 柔 軟 なクラウド 型 ソリューションを 実 現 します URL の 遮 断 やフィルタリング マルウェアや 感 染 リンクの 検 出 における 業 界 トップクラスの 精 度 に 基 づい て 既 存 の 脅 威 と 新 しい 脅 威 を 容 赦 なく 封 じ 込 めるその 能 力 は 次 の 3 つの 主 な 差 別 化 要 素 に 由 来 します 1. シマンテック ドット クラウドサービスの 土 台 となる 独 自 のグローバルインフラ 2. 比 類 ない 脅 威 検 出 能 力 を 誇 る シマンテック ドット クラウド 独 自 のテクノロジ Skeptic 3. シマンテック ドット クラウドが 提 供 する 最 高 レベルのカスタマーサービスおよびサポート 3
脅 威 がどんな 場 所 に 潜 んでいようと ドット クラウドサービスが 見 つけ 出 し ページやファイルを 開 いた り リンクをクリックしたり アプリケーションにアクセスするなどのすべての 要 求 を 遮 断 します 加 え て このサービスは 全 面 的 にカスタマイズ 可 能 で さまざまなユーザーグループ 用 に 異 なるルールを 設 定 して 監 視 できます 個 々の 従 業 員 ごとに 行 うことも 可 能 です 従 業 員 に 対 し 1 日 の 時 間 帯 ごとに 異 なる レベルの Facebook アクセス 権 を 与 えることもできます スパムと 悪 質 なメールからの 包 括 的 な 保 護 を 提 供 するメールセキュリティサービス ドット クラウドを Web セキュリティサービス ドット クラウドと 組 み 合 わせれば ポリシーを 実 際 に 効 果 的 に 実 施 でき Facebook のジレンマの 解 決 につながります Copyright 2012 Symantec Corporation. All rights reserved. Symantecと Symantecロゴは Symantec Corporationまたはその 関 連 会 社 の 米 国 およびその 他 の 国 における 登 録 商 標 です その 他 の 会 社 名 製 品 名 は 各 社 の 登 録 商 標 または 商 標 です 製 品 の 仕 様 と 価 格 は 都 合 により 予 告 なしに 変 更 することがあります 本 カタログの 記 載 内 容 は 2012 年 5 月 現 在 のものです 株 式 会 社 シマンテック 107-0052 東 京 都 港 区 赤 坂 1-11-44 赤 坂 インターシティ www.symantec.com/jp < B1204WP0-IN-DCWTS > 4