おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
キラキラSNSに疲れたか 人気のBeRealで相次ぐ内部情報流出 限定公開の油断か罠か
BeRealとは?
ビーリアルはスマートフォンの正面と背面のカメラで撮影した画像をそのまま投稿する仕組みで、1日に1回、不特定の時間に通知が届き、2分以内の投稿を促す。
BeRealってしばらく前に聞いたけど、なるほど、そーいう仕組みのSNSなのね。
InstagramやTikTokといったSNSとは異なり、ビーリアルは以前に撮影した動画や画像は投稿できず、加工機能もない。シンクタンク「Fiom合同会社」(東京都)が、Z世代を対象にビーリアルを好む理由(複数回答可)を調査したところ、「リアルタイム性を共有する仲間との一体感」(42%)に続き、「加工をしてキラキラした投稿を作るのに疲れた」という回答が25%に上った。
キラキラ加工は、確かにめんどいよね。インスタのリールを作成するのすら、めんどいと思うもん(笑)
SNSでの拡散や炎上に対する若者の意識の高さを示すデータもある。デジタル化で生じるリスクへの対策サービスを企業に提供する「エルテス」(東京都)の調査では、自分や知人だけが閲覧できる非公開のSNSアカウントの利用率は20代が約91%で最多だった。
ビーリアルは投稿者が認証したユーザーのみが閲覧でき、投稿内容も一定時間で消える。
誰でも閲覧可能な状況って、思ったほど多くないんですね。自分のSNSは完全フルオープンですが……ちょっと意外な結果でした。
と、話題のSNSをぶったぎる場ではないので、この話はほどほどにして…
若手社員らが勤務先の内部情報が写りこんだ画像をSNSに投稿し、拡散する事案が相次いでいる。顧客情報の漏えいなど深刻な損害も生じた。発端となったのは公開範囲が限定されたアプリへの投稿。背景には、SNSで写真映えなどを競い合うことに疲れた若者心理があるとも指摘され、専門家は安易な投稿に警鐘を鳴らす。
なんか事件・事故があっての記事ではなく、こうした事件・事故が多くなってきた背景の解説記事でした。
いくらセキュリティソリューションにコストをかけても、こういったソーシャルな部分から漏れる恐れもあり、というか、こーいったソーシャルな部分の脆弱性が一番高いんじゃないかと思ってしまう。
標的型メール訓練の本も書きましたが、あれは標的型メール訓練をしよう!と言ってるわけですが、その裏では各々のセキュリティリテラシーを高めよう、という意味もあるので、社内教育とか大事ですよね。
「ゼロトラストの前に既定パスワード変更を」 IPA、重要インフラを守る「最低限のセキュリティ」を刷新
独立行政法人 情報処理推進機構(IPA)セキュリティセンターは2026年4月8日、米国土安全保障省(DHS)傘下のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が2025年12月に発行した「Cross-Sector Cybersecurity Performance Goals Ver.2.0」(以下、CPG 2.0)を翻訳し、CISAの了解の下でIPAのWebサイトで公開した。国内のインフラ事業者のサイバーセキュリティ確保を支援するのが目的だ。
CPG 2.0が対処する4つの課題
- OTサイバーセキュリティの軽視とリソース不足
- 基本的なセキュリティ防御策の未採用
- 中小規模組織の取り残し
- 一貫した基準とサイバー成熟度の欠如
上記の中の特に 「2.基本的なセキュリティ防御策の未採用」 は、以下のように書かれています。
MFAや強固なパスワード管理、定期的なバックアップといった基本的な防御策の欠如が重要インフラをサイバー侵入にさらしている。
まずは 基本的なところが一番大事 であると。
パスワード管理、してますか?バックアップちゃんと取れてますか?そのBackup、正しく復元できますか?
今一度、襟元を正してしっかりと自社のセキュリティを見つめなおすのが大事です。SCS評価制度も今年度末から始まります。これを機会と捉えて前向きにチャレンジするのが、まずは一番の近道じゃないかなと思います。
セキュリティ投資の拒絶と有事の責任転嫁 経営層が自戒すべき「人為的ジレンマ」の正体
企業において私たちは個人ではなく、組織という単位で動いている。そこでは当然、担当者間の意見の食い違いや、立場の違いがもたらす不和などが生じやすい。それはビジネス活動全般、あらゆる仕事で言えることだ。
しかし、サイバーセキュリティは、こちらを攻撃してくる敵、外的脅威に対する防衛だ。個人がバラバラに成果を出すことはあり得ない。
「組織を守る」という目的の下、一致団結できるかどうかは死活問題だ。同時に、人というものは元来ロジックで動くものではなく、感情で動く生き物だ。それ故にこの問題は、セキュリティに携わる人材のモチベーションや充実感、ひいては組織の成果にも大きく関わる。
「組織を守る」とは、どういうことでしょうか?
会社を守る?社員を守る?
サイバーインシデントから守るべきは「会社のデータ」です。セキュリティは会社のデータを攻撃者から守るために生まれました。
攻撃者は会社のデータを暗号化し、復元のために身代金を要求します。そのデータが無ければ業務が遂行できないからです。
曖昧な言葉で濁すのではなく、言葉の定義をしっかりとしてほしいですね。
さて、ここから本題。
ここで、ある具体的な事例を紹介したい。セキュリティ担当者の坂本さん(仮)が所属する大手製造業D社では、3日前に発現したランサムウェア被害によって主要基幹システムのほとんどが停止。現場では昼夜を問わず、調査と復旧作業が続いている。
(中略)
この2日間まともに帰宅すらできおらず、心身ともに限界を迎えていた。しかし、大規模なセキュリティインシデントの対応経験を持つのは社内で彼一人しかいない。自分がやるしかない――。そう悲壮な覚悟で対応に当たっていた最中、経営者Aから放たれた「たった一言」が彼の心をへし折ることになる。
なんか自分のことを記事にされてるような…そんな気分(笑)
ぃゃ………心当たりのある人、めっちゃいるんでしょうね!!
「あ、おれのことかも?」と思ったそこの貴方!
安心してください、仲間ですよ(笑
自分の場合は…
社長:「言いたいことはわかる。でも、過去10年、そーいうインシデントんがあったか?
自分:「ないです」
社長:「じゃ、この先10年もそーいうインシデントが起こるリスクも低いだろ」
自分:「………」
まぁ、こんな感じだったと思います。そして、その数年後にランサムに感染し、3か月後には転職をしたわけですが~
この記事については、もっと色々と書きたいのですが、まずは見てもらうののが一番だと思います❣
--
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSの詳細については、こちらの記事をご覧ください。
記事にもあった基本事項の1つ、バックアップ。
バックアップは取るだけでは意味がなく、復元できてこそ初めて意味をなすものです。年1回でも、復元訓練を実施していただくことをオススメしてます by ランサム感染者経験者より