1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第6回 他人に知られたら困ることは絶対に書き込まないのが基本! SNSを通じた情報漏えい対策のポイントについて聞いてみた
このエントリーをはてなブックマークに追加

辻 伸弘のセキュリティ防衛隊

第6回 他人に知られたら困ることは絶対に書き込まないのが基本! SNSを通じた情報漏えい対策のポイントについて聞いてみた(2/3)

公開しようとしている情報は、本当に公開する必要があるのかを冷静に考える

★ それでは、SNSを安全に利用するためのポイントについて教えていただけませんか?
辻 伸弘隊長

はい。まず、情報の内容や公開範囲の設定と確認です。設定だけでなく、サービスの仕様変更などもあるため、自分が意図した公開状態になっているかの確認を必ず行うようにしましょう。Facebookでは、プライバシーショートカットという機能が提供されています。
プライバシーショートカットの画面。具体的な設定方法について、詳しくはFacebookのサイト等を参照してください。 プライバシーショートカットの画面。具体的な設定方法について、詳しくはFacebookのサイト等を参照してください。
これは、Facebookのプライバシー設定とツールにすぐにアクセスできる機能で、デスクトップ版のページの右上にある錠前のマークをクリックすると、管理する設定のショートカットが表示されます。これで情報の公開範囲を設定することが可能です(細かい設定を行いたい場合は自身のページの「基本データ」から行うことができます)。

★ Facebookで設定した公開情報を確認するためにはどうしたらよいですか?
辻 伸弘隊長

これは、アクティビティログの「プレビュー」機能を使います。デスクトップ版のページから自分の名前をクリックし、「アクティビティログ」→「プレビュー」で他人から自分のアカウントがどう見えているかを確認できるので、そうした機能を利用するとよいでしょう。
プレビューの選択画面。具体的な設定方法について、詳しくはFacebookのサイト等を参照してください。 プレビューの選択画面。具体的な設定方法について、詳しくはFacebookのサイト等を参照してください。

★ 写真の公開についてはどんな点に気をつけたらよいですか?
辻 伸弘隊長

自宅の周辺で撮った写真は公開しないということです。自宅が特定されるリスクを考えると、写真に位置情報を付与しているかどうかにかかわらず、自宅周辺で撮った写真は公開しないことが大事です。位置情報という意味では、写真だけでなく、位置情報がある程度わかるつぶやきにも注意が必要です。

★ チェックインサービスなどの利用にも気をつける必要がありますね。
辻 伸弘隊長

そうですね。例えば、どこかで位置情報機能を有効にしたり、位置情報アプリなどでチェックインをして、その後、帰宅してすぐのつぶやきなどがあれば、前者の情報から移動可能な距離であることから、どのあたりに住んでいるかをある程度推測できてしまう可能性があります。自宅から出勤する場合なども同じです。

★ 写真といえば、Facebookではタグ付けの機能もあります。
辻 伸弘隊長

はい。友達が撮影した「自分が写っている」写真が公開され、そこに写る自分が「タグ付け」されることがあります。これにより、自分のプライバシー情報が意図せず公開されるリスクがあります。友達が写真に自分をタグ付けすることやアップロードされること自体をコントロールすることはできませんが、その事実を知ることはできます。

Facebookのホーム画面の右上にある▲マークをクリックし、「設定」→「タイムラインとタグ付け設定」で「友達があなたをタグ付けした投稿をタイムラインに表示する前に確認しますか?」をオンにします。自分がタグ付けされたことを把握するために、その機能はオンにしたほうがよいでしょう(具体的な設定方法について、詳しくはFacebookのサイト等を参照してください)。

★ それでは、企業等に勤める社員として気をつけるべきポイントはありますか?
辻 伸弘隊長

まず、SNSの利用ガイドラインを定めているところは、きちんと確認、遵守することは基本ですが、それ以前に、公開していいか判断がつかない情報は公開しないというのが原則です。

★ 何が会社にとって重要な情報かというのを見極めるにはどうしたらよいですか?
辻 伸弘隊長

そうですね。これはもう、想像力を働かせるしかないです。例えば、自分が今、どこかの場所にいるという情報も、会社の動向を探りたいという人物にとっては「おいしい」情報かもしれません。ですから、今、公開しようとしている情報は、本当に公開する必要があるのかどうかを冷静に考えるようにしたいです。

★ では、視点を変えて、企業側の対策としては何がポイントですか?
辻 伸弘隊長

ポリシーの策定や、仕組みの導入ということだけでなく、社員のリテラシーを高める教育が大事になってきます。SNSの難しいところは、会社で利用することを禁じても、私物のスマホでネットワークに繋げば書きこめてしまうところです。会社のIPアドレスで社員がSNSにアクセスすることは防げるものの、書き込み自体を防ぐことはできないのですね。そうなると、根本的に、人に対して何かアプローチしないと、抑止効果としては弱いでしょう。

★ 例えば、どういうアプローチが考えられますか?
辻 伸弘隊長

はい。例えば、システムの監視ツールが入っていると社員にアナウンスするだけでなく、社員が会社のPCにスマホを繋いで、システム側が通常と異なる振る舞いを検知したら、情報システム部の人間から実際に内線などでその社員に連絡が行くというようなことです。社員は会社に見られているということが実感できれば、悪意を持って何かしようということを思いとどまるかもしれません。あるいは、自分がしたことで得られることと失うものを天秤にかけて、費用対効果で割に合わないことを、社員教育などで教えるということも一つの考え方です。会社側としても、ある程度は社員のSNS利用状況などを確認したほうがよいと思います。そういった話や文章を社員向けに伝達することが望ましいと思います。コミュニケーション不足による事故や揉め事は世の中にあふれていますから。

企業にとってのリスクをゼロにすることはできないがゆえに、リスクをある程度コントロールする取り組みを行うことが求められてくると思います。

★ インターネットの利用が一般化してきて、誰もが「失敗できない」世の中になってきました。
辻 伸弘隊長

そうですね。いつでも、誰でもネットに簡単にアクセスできる時代というのは、小さな失敗を積み重ねて、失敗から何かを学ぶということができずに、いきなり大失敗をして、再起不能になる可能性のあるところに放り込まれるようなものです。ですから、自分が公開しようとしている情報は、本当に公開する必要があるのかを冷静に考え、他人に知られて困る情報は、絶対にどこにも公開しないということを守っていくしかないです。先ほどの企業での話と同様、家庭という場でもこういった話をテーマとした親子、家族の会話、コミュニケーションが必要なのだろうと考えています。

辻さんのSNS運用のポイントは「知られたら嫌なことは誰にも公開しない」のが基本

★ それでは、辻さんのSNS運用のポイントを教えてもらえませんか?
辻 伸弘隊長

はい。まず、プロフィール情報ですが、Facebookでのプロフィールの公開範囲のいくつかは「自分のみ」に設定しています。生年月日と出身地は「友達のみ」としています。また、先ほど述べたアクティビティログのプレビュー機能で自分のページが相手からどう見えているかの確認もしています。

★ 公開・発信する情報の内容についてはいかがですか?
辻 伸弘隊長

そうですね。いつも配慮しているポイントは、情報の発信では推測なのか断定なのかをきちんと分けて書くということでしょうか。自分の意見を書くときは、これは個人的な感想であり、一般論としてそうだという風には書かないように配慮しています。また、要素を羅列するときは、それ以外の可能性を排除しないように「など」と書くということも気をつけています。

あとは、基本的なことですが、自宅周辺の写真は撮って公開しないことに気をつけています。たとえFacebookで「いいね!」がたくさんつきそう、見ている人に楽しんでいただけそうな情報でも、自分の住所が特定されるリスクがあれば公開しません。本当にそれを公開する意味があるのかについて、できるだけ想像力を働かせて対応しています。

★ 想像力を働かせるという点について、もう少し詳しく教えてください。
辻 伸弘隊長

はい。僕は「自分をものさしにして考えない」ということを意識しています。これは子どものころから家族に口酸っぱく言われ教えられてきたことなのですが、「他人は自分が思っているようには思ってくれないかもしれない」といつも心がけています。

ですから、SNSへの書き込みについては、他人に対しては誠実に、できるだけ誤解を招くような言い方をしないように気をつけています。また、細かいことですが、なるべくSNSには明るい話題を発信したいと心がけています。他人の愚痴を見せられて気持ちのよい人というのは、あまりいないんじゃないかなあと思うからです。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji