CrowdStrikeの障害から考えるSNSの利用

皆さんこんにちは。セキュリティコンサルタントの高野です。

2024年7月、CrowdStrikeのアップデートファイルの不具合で、世界中のパソコンがブルースクリーンとなった世界的システム障害を覚えていますでしょうか？航空、金融、医療など重要インフラをはじめ、多くの企業システムに深刻な影響を与えました。
当時X（旧Twitter）では、Windows端末でのブルースクリーンの発生に関する投稿が数多く見受けられました。実はこれらの投稿には、危険が潜んでいます。
今回は、「CrowdStrikeの障害から考えるSNSの利用」と題し、SNS利用の危険性やその対策について考えていきたいと思います。

SNSでインシデントを投稿するとどうなる？

Windows端末がブルースクリーンであることを投稿することは、自組織でシステム障害が発生していることを公にすることに繋がります。原因や影響範囲が分からない状況で、システム障害が発生していることを公に出すことは、二次被害の発生の可能性があるため注意が必要です。
また、利用している機器やサービスを公に知らせることにもなります。機器やサービスの脆弱性を狙った攻撃が発生するといったリスクが考えられるため、容易に公開するものではありません。

現在SNSで多数報告のあるブルースクリーンについて「自社でも起きている」等個人の方とみられるポストを複数見かけています。
障害事象はセキュリティ製品起因とする情報があり、ポスト元組織の導入製品を第三者に推定される恐れがあります。ポストが所属元ルールに触れていないかご注意ください。 https://t.co/SUo4bBCoFI

— piyokango (@piyokango) July 19, 2024

NICT（国立研究開発法人情報通信研究機構）のメンバーによる注意喚起

piyokango | メンバー | サイバーセキュリティ研究室 | NICT

自組織のインシデント情報に加え、お客様のインシデント状況の投稿も今回見受けられました。顧客名は出していないものの、複数の投稿から相関して特定ができてしまう場合もあるため、不用意に情報を出さないことをお勧めします。

組織におけるSNSの利用について

インシデントの投稿以外に、どのようなSNSへの投稿が組織に影響を与える可能性があるのでしょうか。
　- 写真への顧客情報の映り込み
　- 公開前の新製品の情報
　- 有名人の来店情報　など

SNSが身近になった現在、新しい情報を得るとつい投稿したくなりますが、組織や顧客の情報を公開することは情報漏えいにつながり、大きな影響を及ぼす可能性があります。ここで、SNS利用における情報漏えいが発生した際の影響について考えてみましょう。
・サイバー攻撃の被害
・社会的信頼の失墜
・ブランドイメージの低下
　- 顧客離れ
　- 人材確保の困難化
・売り上げ／株価の低下
・賠償金の支払い

最悪の場合、組織運営が困難になる場合も考えられますので、SNSの利用についてはしっかりと対策を取る必要があります。

対策を考えてみる

従業員がSNSに機密情報を投稿しないための対策を考えていきたいと思います。

SNS利用ルールの策定

就業規則や、セキュリティ規程などに、SNS利用におけるルールはありますか？具体的に何を投稿してはいけないのかを提示しておくことも効果的です。

ルールの例
・企業や組織のブランドイメージを損なう発言をしない
・機密情報や公開前情報を含む発言をしない
・社内の写真などを広報などで使用したい場合は、○○部への確認とする

また、ルール違反者は処罰の対象となることも明記しておきましょう。
従業員のSNS投稿により、情報漏えいや名誉棄損が発生した場合は、就業規則上の懲戒ルールに則って処罰することが可能です。逆にいうと、懲戒のルールを定めておかないと懲戒処分とすることができません。違反したときの処罰についてもあらかじめ定めておきましょう。
ただ、処罰を与えることが目的ではありません。SNSの誤った利用は処罰を受ける対象であることを従業員には理解してもらうことが抑止効果に繋がります。

セキュリティ教育の実施

最も効果的かつ重要な対策だと考えているのがこのセキュリティ教育の実施です。策定したルールの周知に加え、SNS利用の不適切な利用における組織に与える影響などを教育内容に含めることで、受講者の理解が深まります。
また、セキュリティ教育の実施タイミングも大切です。年に一回の定期セキュリティ教育に加え、新入社員が入社したときなど、新しく組織に属したタイミングでの実施も検討しましょう。

情報資産のラベル管理

社外秘の情報という意識がなく投稿してしまうケースや、社外秘の情報資産が写真に写りこむといったケースが発生しています。こちらの対策として、従業員に情報の機密性や重要度を正しく認識してもらうためのラベル付け（※）を行うことも効果的です。

（※）ラベル付けとは、組織で定めた重要度区分に対し、該当する情報資産が識別できるようにすること。

ラベル付けのイメージ

さいごに

“本名や勤務先を明らかにしていないから大丈夫！”と思っていても、プロフィール欄の記載や過去の投稿から、意図せず特定されてしまうことがあります。また、一度投稿したら消したとしてもインターネット上に情報は残り続けます。
組織におけるセキュリティ担当者の方は、従業員のSNSの利用におけるリスクを理解し、適切な対策を実施しましょう。

執筆者：高野