会社の公式LINEアカウントが乗っ取られたら・・・・・・

2015/01/30

2014年の上半期、人気SNSサービスであるLINEのアカウントが乗っ取られ、その乗っ取られたアカウントに繋がっている友人等に電子マネー等を要求する事件が多発したのをご存知でしょうか。
現在はほぼ収束しているようですが、警視庁の発表によれば、2014年の10月末までに約2,800万円の被害が届けられたようです。

その一方、LINEやFacebook、TwitterなどSNSをマーケティング目的で公式アカウントを取得し、色々な情報を発信する会社や団体などが増えています。このコラムを読んでいただいている皆様の所属している組織でもSNSの公式アカウントを取得し実際に活用されている場合があると思いますが、アカウントの取得や管理についてどのようなルールがあるかご存知の方はどれほどいらっしゃるでしょうか?

また万が一、公式のSNSアカウントが乗っ取られて、セキュリティ事故・事件が引き起こされた場合、どのような対応を誰が行うのかが明確になっているでしょうか?


システム部門がなんとかしてくれる?

SNS等のアカウントの乗っ取り対策としては、「類推されやすいパスワードを使わない」、「業者が提供する多要素認証機能や利用端末を限定する機能の利用」などがあげられます。しかし自社サービスではない外部サービスを利用する場合、パスワード管理ポリシーの策定や、各サービスの利用規約に関する情報の共有、実装しているセキュリティ機能の利用について、会社のシステム部門と外部サービスの利用部門の担当者が事前に打合せを実施しているということはまだ少ないようです。

「何か問題が発生したら、情報システム部門が対応する」と考えている方も多いと思います。システム部門は社内の情報システムの運用における専門部署として、情報システムに関するリスク対応の責任を担っていますが、会社が提供していない外部サービスのSNSのアカウント管理まで対応するということに無理や問題はないのでしょうか。

会社によっては、SNSの公式アカウントを情報システム部門等と相談せず、営業や販売促進部門、IR担当部門などが独自に判断し取得しているケースがあるようです。その結果として、自社が開設しているSNSの公式アカウントがどの程度あり、どこの部門で管理しているのか情報システム部門で正確に把握できていない状況が生み出されているようです。


技術の変化に追いつけない組織

SNSやクラウドサービスのように外部が提供するITサービスを積極的に活用し、ビジネスニーズに柔軟にかつ迅速に対応することは、企業にとって大きなアドバンテージにつながるようになりました。一方、一般的に社内の情報システムの管理を職務としている情報システム部門の範囲外でITサービスの活用が広がることとなり、サービスを利用する部門の管理責任が大きくなります。しかし、サービスが提供する機能についての理解不足や、サービスを利用することで発生するリスクやリスクを低減するためのセキュリティ知識も十分にないがため、セキュリティ事故をおこすきっかけとなっている状況もあるようです。

SNSから話はそれますが、スマートフォンを業務に活用しようと導入を検討する企業が多くなっています。多くの組織ではこれまで携帯電話は総務部門の管理、パソコンは情報システム部門の管理と役割を分けていることが多いようですが、スマートフォンの利活用に際し、総務とシステム部門どちらの組織が責任を負うべきかが整理出来ないため導入がスムーズに進まないケースも多いようです。

つまり、ITの利用形態とリスクが多様化するのに対しこれまでの役割分担に縛られ、対応が追い付いていないというのが多くの組織の現状なのではないでしょうか。


縦割りからの脱却を

SNSを利用していて不用意な発言をしたことから発生した炎上事故が会社の評判を傷つける等、今日の企業や団体はこれまで想定をしていなかった多種多様なリスクにさらされています。それらのリスクが引き起こす問題に対応するため従来の組織の役割や責任範囲を見直す前に、組織横断的に発生した問題について対応を協議する場と対応するための要員を育成・確保することが必要なのではないでしょうか。


- 執筆者 -
株式会社インフォセック
プリンシパルコンサルタント M


【関連するサービス】
SNSポリシー策定支援
 ソーシャルメディア・SNSについて、従業員の私的利用や企業としての公式利用におけるリスクに
 対応するための利用ルール・ガイドライン策定を支援します。

クラウドサービス利用ガイドライン策定支援
 クラウドサービス(SaaS/PaaS/IaaS)を安全に利活用するためのガイドラインの策定を支援します。

スマートフォン・タブレット情報セキュリティ対策&導入支援
 スマートフォン・タブレットを利用する業務やシーンの検討、リスク分析とセキュリティ対策や
 導入研修などの準備段階、導入後の保守・運用管理など各フェーズでのご支援と専門的な技術・
 情報セキュリティに関する情報をご提供します。