Facebookページ – 管理者のセキュリティは大丈夫?

20170203

こんにちは、アクトゼロの山田です。
インターネットの利用におけるセキュリティー意識が高まるにつれ、Webサービスは元より、デバイス自体にも様々な仕組みが導入されて来ています。例えば、iPhoneを始めとしたスマートフォンなどを考えると分かりやすく、端末を使うための“指紋認証”はかなり普及しているのではないでしょうか。

特に、セキュリティー強化の流れはWebサービスなどはとても早く、常に細かなアップデートが実施されている印象を受けます。中でもSNSの分野で顕著です。なぜ、SNSで顕著なのかと言うと、単に個人に紐付く情報を持っているという理由だけでなく、ソーシャルログインの仕組みを導入している他のWebサービスにも影響する時代になってきていることが挙げられます。特に、実名制を原則としているFacebookは、まさにオンラインでの自身の分身として、様々なログインにおける連携サービスとして活用する人も多いのです。

個人のセキュリティはNFCやUSBで認証できるFacebook

Facebookの個人ユーザーのセキュリティは非常に進化しており、単なるパスワードだけではなく、最近では、NFC(近距離無線通信)やUSBメモリを介して行うことができるようになっています。ただ単なる文字列であるパスワードだけでは破られやすいことから、画像に埋め込まれた文字列を入力させるもの、あるいは、画像をドラッグアンドドロップして人が介していることを証明する手段が併用されてきました。

005

今回は、物理的な認証になりますので、オンライン上で簡単にアカウントが破られることはなくなりそうです。イメージとしては、オンラインバンキング等におけるワンタイムパスワードだったり、会社の情報端末を使用する際にかざす社員IDのような感じだと思われます。

パスワードだけではそのセキュリティを担保することができないための機能と言えそうですが、このあたりはハッキングしようとする悪意を持ったユーザーとのイタチゴッコとも言えますので、今後さらに進化していくと考えられます。

企業Facebookページは?

個人アカウントのセキュリティは年々強化されていることは分かるものの、企業が利用するFacebookページではどうでしょうか?Facebookページのほとんどは、個人アカウントが管理者となって運用されています。そのため、Facebookページのセキュリティの面では、紐付いている個人アカウントが適切に“管理”されているかというところが焦点になります。特に、下記の3つの点を確認することが重要と言えます。

①管理者の把握
誰がFacebookページと紐付いているのか、まずはそこを確認から始める必要があります。現在、運用を行っている社員はもちろん入っていると思いますが、別の部署に異動した社員や、場合によってはすでに退職した社員が残っていることも結構あります。また、広告の出稿を外部の会社(広告代理店)に委託しているケースだと、その広告代理店のビジネスアカウントも紐付けられているはずです。003

確認する方法は、紐付いている個人アカウントでFacebookページを表示し、右上の「設定」メニュー内にある「ページの役割」を開きます。そこに、現在の関連付けられているアカウントの一覧が表示されます。

②管理者の役割
紐付いている個人アカウントには、それぞれに“できること”が付与される権限によって異なっています。全ての機能をコントロールできる「管理者」から、ただ単にインサイト等を見ることができるだけの「アナリスト」まで。誰がどの権限を付与されているのか、しっかりと把握しておかなければなりません。役割と権限は、以下の表を参考にしてみてください。

000紐付いている個人アカウントの権限が適切なものかどうか、ひとつひとつ丁寧に確認していかなければなりません。

③アカウントの削除と権限変更
関係ない人がリストにあった場合や、権限が異なる場合に、それぞれ個別に対応を行っていきます。
001まず、そもそも知らない人だったり、すでに担当を外れていたり、もしくは退社した社員がまだ残っていたとしたら、「編集」をクリックし「削除」します。当面Facebookページに関わることがない人なども、何かあってからでは遅いので、削除しておいたほうがいいでしょう。必要であれば、削除する前に、関係者に確認しておくと安心でしょう。

002そして、削除するまではないが、あまりコントロールできる権限を与えたくないユーザーは、権限の変更を行うのが適切だと考えられます。権限の変更は、「編集」を押してプルダウンから選択するだけです。必要以上に全てをコントロールできる「管理者」の権限を渡さないことが重要で、できるだけ細かく各ユーザーごとの委譲範囲を定めていくことが大切です。

004

このように、Facebookページのセキュリティは、紐付く個人アカウントの管理が肝となっています。すでにFacebookページの運用を始めて、5,6年目という企業がある中、紐付いている個人アカウントがかなりの数に上るケースも存在しています。

現状、日々の運用管理において、Facebookページの設定の確認、ましてや管理者の状況を定期的に棚卸し、適切に管理出来ている企業はほんの僅かのように思います。意図しない投稿をされてしまったり、確信犯的に企業名での投稿が行われたりするのを防ぐためにも、今一度、管理者の状況は確認しておくに越したことはありません。すぐにできる内容ですので、ぜひ。

アクトゼロ / 山田