オチェアーノ - 情報の海に溺れて

読者です 読者をやめる 読者になる 読者になる

オチェアーノ-情報の海に溺れて

情報漏えいの事例など、情報セキュリティ意識を高めるブログ

MENU

ラインやFacebookなどSNSでのセキュリティを高める為に知っておくべき7つのこと

情報漏えいは、誤操作と情報管理ミスで約80%。人事じゃない。

SNSからの情報漏えいは後を絶ちません。インターネットやスマートフォンの普及によって、昔では考えられないほど人は情報と深く繋がるようになりました。

そしてFacebookやTwitter、MixiなどといったSNSサイトが利用されるようになり、一般人ですら簡単に他人についての情報を取得できるようになっています。もはや、情報漏えいは誰にでも起きることなのです。

その結果、本来その形で利用されるべきでない情報の使われ方が目立つようになり、問題提起されるようになっています。それに伴って個人における情報管理のあり方について、セキュリティ意識を改善しようとする機運が高まっています。

今回は情報セキュリティに関する7つの項目を知ってもらうことで、未来の情報漏えいを少しでも減らすことができれば幸いです。

スポンサーリンク

 

その1. 情報漏えいの原因は、管理ミスと誤操作が8割弱を占める

情報漏えい被害において、サイバー攻撃や高度な不正アクセスによる事例というものはそう多くはありません。実は、情報漏えいの経路としては不注意によるものが大部分を占めているのです。

以下は日本ネットワークセキュリティ協会による調査結果ですが、例えば企業からの個人情報漏えいでは以下のような割合となっています。

f:id:rk12liv:20160125122738p:plain

出典:JNSA日本ネットワークセキュリティ協会

2012年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

なんと管理ミスと誤操作だけで、調査された情報漏えいのうちの8割弱を占めていることがわかります。情報漏えい事件を聞いた際、多くの人は映画さながらの天才ハッカーが高度な技術を発揮して華麗に情報を盗み出す姿を想像するかも知れませんが、全くそうではありません。

なぜこの事実を知ることが重要かというと、情報漏えい事件は“誰にでも起きる可能性がある”ということを疑いなく認識して欲しいためです。

私が今まで話した中だけでも、“別に流出するのはセレブとか芸能人とかだろう”や“情報漏えいなんて大企業が狙われるんでしょう”などといった意識を持っている方が目立ちます。

8割弱もの情報漏えい事件が単なる人間のミスだということを知れば、“自分には関係ない”という態度をとることはできないはずです。

管理ミスや操作ミスなどは誰でもやらかすことがあります。内輪で楽しんでいただけのFacebookのプロフィールページが、何らかの拍子に公開設定になっているかも知れません。

情報漏えい事件は対岸の火事ではありません。誰にでも起きる可能性がありますし、誰にでも大きな被害をもたらす怖さを持っています。

それが分かっていれば、どうしてラインやSNSなどのセキュリティをおろそかにすることができるのでしょうか。

その2. インターネットやSNSに投稿した情報は自分でコントロールできない

 よくFacebookなどに写真を大量にアップロードして、フォトアルバム代わりにしている方がいます。そのことについて何か言うつもりはありませんが、そのアルバムはもはや投稿者の管理外だという意識は持っておいて欲しいものです。

人は写真や動画、もしくは位置情報など様々な情報を文章と共にSNSに公開します。自分の意思で公開したその情報からその人の生活レベル、大体の職業、活動時間、国籍、など様々な情報を類推することができます。

もっと恐ろしいのは、自分の公開した情報がどのように利用されるかわからないことです。偽造パスポートの顔写真に使われるかも知れません。

ある過激派メディアに自分のツイートのごく一部だけを抜き出されてプロパガンダ的に使用されるかも知れません。自分が事故を起こしたときに報道される人物写真になるかも知れません。

自分が公開する情報は“誰がいつどのような形で利用するか分からない”のです。発言の一部を切り取るということはどこのメディアでも行っていることですから。その結果恣意的に利用されてしまっても、文句は言えないでしょう。

このような事例は、広義では情報の管理ミスにあたります。公開して問題がある情報かどうかを事前にチェックして、問題ないと判断した場合のみSNSに文字情報や写真、動画を共有すべきだからです。

また、SNSなどに投稿した情報は厳密にはそのサービスを管理する会社の元に保存されます。昨年、世界的セレブ達のプライベートな写真がiCloudから流出する事件が話題になりました。

それが果たして不正アクセスによるものだったのか、アップルの管理するサーバーへのサイバー攻撃だったのかははっきりしていません。SNSサービスを提供している企業ですら、100%信用することはできないのです。

その3. 一度流出した情報は、二度と取り戻すことができない

流出した情報に限ったことではないのですが、インターネットに一度公開された情報は、二度と取り消すことができません。

公開後最初期の段階で、検索エンジンに見つけられておらず、インターネット上のサイトの記録を取るアーカイブの検索にも引っかかっていない。

そういった極々限定された期間であればまれに取り消せる可能性もありますが、どちらにしてもインターネット上に公開したという事実は必ず残ります。

インターネットは公共の場です。しかもたちの悪いことに、インターネットで発信した情報は消えずに、極めて正確な形でずっと残り続けます。

そのような場で、自分に関する投稿を繰り返していった瞬間に自分という人物像がインターネット上で作り上げられてしまいます。それは当然、極めて自分に近いものになります。

プラスのイメージが定着するのであれば被害は少ない(それでも嫉妬などの対象になってよくないが)でしょう。

しかし法律には触れないけれど道徳的でない行為、未成年飲酒やタバコといった昔なら公共の目に触れなかった問題が、今では完全にオープンになっています。そして、不特定多数の批判の矛先となります。

情報が不可逆的に残り続ける仕組みのインターネットですから、公開する情報は選別に選別を繰り返すべきです。

その4. 情報漏えいは、一度起きればとことん連鎖する

情報の性質として、情報同士様々な繋がりを持っていることがあります。例えば、ある投稿者が毎朝7時に出社のツイートをしていて、大体6時頃に家での夕飯の内容を写真付きでFacebookにアップロードしていたとしましょう。

その情報は私達にとっては別にたいした情報ではないかも知れません。しかし、空き巣にとってみれば昼間は家を留守にしているんだなと推測されてしまいます。

投稿の内容から一人暮らしと判断されたら、次の日には家の金品がなくなっているかも知れません。逆に借金取りにしてみれば、午後9時には大体家に居るということをかぎつけられてしまうことでしょう。

このように、情報は情報同士で繋がりを持っています。そのため、一つ情報が漏れてしまうだけでもいくつかの新しい情報を類推することができるほか、その他の公開情報と照らし合わせて実に様々なことを確定できます。

また、情報源同士のリンクも重要です。ある零細企業のウェブサイトの会員登録情報が漏れてしまったとします。そこで漏れたIDとパスワードは、名簿業者を通じて悪意ある攻撃者の手にわたります。

次に行われることは、そのIDやパスワード、もしくはパスワードだけを抽出してその他のサービスで侵入を試みることです。これはパスワードリスト攻撃などと呼ばれます。

多くのサービスではIDにメールアドレスを使用していることから、パスワードが漏れるだけで危険なのです。パスワードを流用している方が多ければ多いほどこの攻撃は危険性を増します。近年増え続けている理由も、恐らくパスワードを共有している方が多いためでしょう。

連鎖する情報流出を食い止めるためには、情報同士の繋がりを断ってやる必要があります。パスワードは使いまわさないことでそれぞれのサービスのセキュリティを独立させる、自分に繋がるような情報(特に時間や位置に関わること)は極力公開しない、などといった対処が重要です。

その5. 情報同士のつながりが見えにくくなっている

その4とも関連しますが、そもそも情報同士がどのようなかかわりを持っているか認識していない方も居るのではないでしょうか。例えばGoogleの提供するサービスのうち、GmailやGoogle Map、Google Nowなど利用頻度が高いサービス同士は密接にリンクしています。

Google Mapで自分が予約したホテルの日付が入っているとパニック気味に友人に相談されたことがあります。そういった情報同士の繋がりが見えていないと、いつどこでどのような情報の漏えいを起こすか分かりません。つまり、情報管理が行き届いていないことになります。

仕組み的なところ以外の話では、例えば会社に”風邪で休む”と伝えていたにも関わらず大学時代の飲み仲間と集まって飲みまくっている姿がSNSを通して流出してしまったという話があります。

ポイントは、その飲み会に参加した別の人間が撮った集合写真が、撮影者の公開設定になっているSNSを通して拡散されたところです。もはや自分の意思とは関係なく、自分の情報は収集されているのです。

ここまで来て、情報管理の難しさというものが実感できると思います。どんな情報が危険で、どんな情報が危険ではないかという判断は非常に難しいものです。

また、その危険な情報が誰に収集されているか、誰に公開される可能性があるか、などといった経路にまで考えを回そうとすると身動きが取れなくなってしまうかも知れません。

自分が投稿する場合においては、その投稿内容を”家族、職場、警察”の人間が見て”注意を受けないかどうか”を確認してから投稿するようにすべきです。

誰が見ても問題ないというのは難しくても、せめてこの点だけは守った方が良いでしょう。どうしてもルールを外れる場合は、その情報について厳重な管理を行いましょう。

その6. 情報セキュリティにおいて、自分以外の人間は信用できない

他人は信用できません。と言ってしまうと排他的に聞こえてしまうので嫌ですが・・・。情報セキュリティにおいて、他人は信用できません。これは鉄則です。

もちろん突き詰めていくと、”ではアンチウイルスソフトも信用できないじゃないか”とか”サービスを利用できなくなる”とか様々な意見が聞こえてきそうです。しかし、本質的にそれらの主張は正しいのです。

結局は自分のセキュリティや情報を他人のサービスに預けているのですから、情報セキュリティという観点では最良の手段とはいえません。パスワードは紙に書いて耐火性の金庫に管理しておく方がパスワード管理ソフトより安全です。

ただこの項で話したいことは実績ある企業のサービスを疑ってかかれということではなく、どのようなサービスであっても情報漏えいの危険に晒されているという認識を持っていて欲しいということです。

流出しては困るようなプライベートな写真をクラウドで保存しないようにする。未公開だからってfACEBOOKの内輪のページに悪口雑言書きまくる。そういった行為はとても危険だということを理解しましょう。

投稿された情報を誰がどのように拡散するか分かりません。内輪にだけ公開しているページが、内輪の誰かに公開されてしまったらどうなるか。

もしくは自分が投稿しなかったとしても、自分が未成年飲酒を行っていた飲み会の写真を友人が公開設定でアップロードしてしまったらどうなるか。それを内定先の企業が見てしまったら。

常にそういったケースを想定しなければなりませんし、想定すればするほど他人の関与を減らすことが情報セキュリティへのカギだということが分かります。

人間不信になれというのではなくて、情報を必要以上の人間に伝えないということです。

その7. 殆どの人が自分が利用するSNSの利用規約やセキュリティ設定について、即答できない

突然ですが利用しているサービス(Facebook、Twitterやライン)の利用規約を読んだことはありますか?多分、見たことすらないという方が大半でしょう。

もし、利用規約に”このサービスを利用している人の個人情報は自由に扱ってよいものとする”なんていう条項が隠れていたらどうしますか?

さすがにそんなにあくどい利用規約を書いている会社は少ないですが、個人を特定できない形で第三者機関にサービス向上のため情報を提供する、ぐらいのことは結構多くのサービスで書いてあります。

本当はこれも良くないことです。顧客はサービスを利用するために登録しているのであって、匿名アンケートに参加するために登録しているのではないのですから。

利用規約は大げさと思うかもしれませんが、本来情報をどう取り扱うのかを明記してくれている決め事です。

読んでおいて損はありませんし、セキュリティに対する意識を高めるきっかけにもなります。もしかしたら、意外なことが書いてあるかも知れませんしね。

それよりも問題なのが、利用しているサービス(ラインやFacebook、Twitter)などのプライバシー設定がどうなっているかを知らない人も少なくないことです。

Facebookのプロフィールページは公開になっているかどうか、タイムラインはどうか、メールアドレスや電話番号による検索を許可しているかどうか、など。

ラインでも電話番号やIDによる検索をオンにしているとかプライバシーに冠関する設定は実に多岐に渡ります。それぞれ、きっちり把握できているでしょうか。

まとめ

ラインやSNSでのセキュリティを高めるためには、まずは情報セキュリティについて意識することがスタートラインです。

どうして情報を守らなければいけないのか。どのような情報は公開するとまずいのか。情報はどのようにして流出していくのか。

情報の流出経路や、情報の性質について考えていくたびにおのずと何をすべきかは見えてきます。個人の情報セキュリティ責任者はその個人です。

口の軽い人には重要な情報を話さないという自衛法があります。当たり前です、大事な情報を漏らされてはたまりません。同じ意識で、インターネット上のセキュリティにも気を配っていきたいものです。

スポンサーリンク