採用サイトに｢社員の氏名｣載せる企業の危うさ サイバー攻撃者が狙う情報､新入社員も標的に

社内で自撮りをしたら、機密情報が写ってしまっていたという場合もあります。とある会社は、入社に浮かれてオフィス内で自撮りした新入社員を1日でクビにしたそうです。そのくらい厳しい体制を敷いている会社もあります。

BtoB企業が、「お客様の声」として顧客の会社名や担当者名とともにコメントを掲載するのも、セキュリティの観点で申し上げると、実は控えるべきなのです。

また、エンジニアや社内の情シス担当等の募集サイトで、使用しているセキュリティツール（ファイアウォール等の具体的な機種名や、Windowsサーバの使用バージョン）をそのまま掲載してしまうと、「この会社はこのサービスを使っているのか」と攻撃者に情報を与えることになります。

新入社員の電話応対を狙って情報を聞き出す事例も

――社員の個人情報以外に、掲載にリスクがある情報はありますか。

実は、会社の地方拠点や支店の電話番号などを会社のホームページや採用サイト等に掲載することにもリスクがあります。特に4月から6月、支店では新人教育を兼ねて新入社員が電話応対をすることが多く、攻撃者はそこを突いてくるのです。

こんなふうに、慣れない新人から必要な情報を聞き出し、攻撃の準備をするのです。

また、自社の信用を高めるために、ホームページに取引先一覧を掲載している会社もありますが、これもセキュリティの観点からは危ない。

いわゆる「サプライチェーン攻撃」ですが、最終的に攻撃したい大企業の情報を持っていると推測され、サイバー攻撃を受けるリスクが高まります。一般に大企業よりも中小企業のほうがセキュリティは甘く、攻撃者はその弱点を狙ってくるのです。

セキュリティに関する情報を集約、ルール化して

――ホームページやパンフレットでの情報発信から事故が発生するのを防ぐには、どのような対策が有効ですか。

情報セキュリティ委員会を立ち上げて、セキュリティに関する情報がそこに集約されるような仕組みが望ましいです。

前述の通り、攻撃者は社員の名前を入手するとメールや郵送などさまざまな手段で接触してきます。「個人情報やメールアドレスの掲載、拠点の電話番号など掲載する場合は必ずここに一報を入れる」とルール化するとよいでしょう。

日本企業は社員情報の公開にもっと慎重になるべきです。社員個人に対しても、会社に関する情報発信は極めて注意が必要であり、発信してよいのはあくまで汎用的な情報だけであることを、きちんと周知させることが大切です。

とくに4月から6月の異動が多い時期や、人事部など不特定多数から情報を受け取る部署は注意が必要です。

宮内 健：ライター