採用サイトに「社員の個人名」掲載でサイバー攻撃の恐れあり、新入社員の電話応対から情報聞き出す例も
一方で、社員が自分の名前を明らかにして発信したいケースもあるでしょう。個人の情報発信を縛ることは難しいですが、会社としてリスクは認識しなければいけません。個人名でSNSやブログ、YouTubeなどをしたい場合は申告制にするとよいでしょう。 社内で自撮りをしたら、機密情報が写ってしまっていたという場合もあります。とある会社は、入社に浮かれてオフィス内で自撮りした新入社員を1日でクビにしたそうです。そのくらい厳しい体制を敷いている会社もあります。
BtoB企業が、「お客様の声」として顧客の会社名や担当者名とともにコメントを掲載するのも、セキュリティの観点で申し上げると、実は控えるべきなのです。 また、エンジニアや社内の情シス担当等の募集サイトで、使用しているセキュリティツール(ファイアウォール等の具体的な機種名や、Windowsサーバの使用バージョン)をそのまま掲載してしまうと、「この会社はこのサービスを使っているのか」と攻撃者に情報を与えることになります。
■新入社員の電話応対を狙って情報を聞き出す事例も ――社員の個人情報以外に、掲載にリスクがある情報はありますか。 実は、会社の地方拠点や支店の電話番号などを会社のホームページや採用サイト等に掲載することにもリスクがあります。特に4月から6月、支店では新人教育を兼ねて新入社員が電話応対をすることが多く、攻撃者はそこを突いてくるのです。 こんなふうに、慣れない新人から必要な情報を聞き出し、攻撃の準備をするのです。
また、自社の信用を高めるために、ホームページに取引先一覧を掲載している会社もありますが、これもセキュリティの観点からは危ない。 いわゆる「サプライチェーン攻撃」ですが、最終的に攻撃したい大企業の情報を持っていると推測され、サイバー攻撃を受けるリスクが高まります。一般に大企業よりも中小企業のほうがセキュリティは甘く、攻撃者はその弱点を狙ってくるのです。 ■セキュリティに関する情報を集約、ルール化して