従業員からの技術情報漏えいを防ぐ。情報持ち出しへの対策とは?
内部関係者から漏えいする技術情報
2021年8月、某化学メーカーで働いていた元従業員が、重要な技術情報を中国企業に漏えいさせたとして、大阪地裁が懲役2年と罰金100万円、執行猶予4年(求刑懲役2年、罰金100万円)を言い渡しました。
この事件の発端は、中国企業がグローバルに利用されているSNS、LinkedInで日本の化学メーカーの技術開発部門に所属する元従業員にコンタクトを取ったこととされています。
報道によると、元従業員LinkedInのプロフィールには、所属企業名や技術開発に従事していることを公表しており、中国企業が技術情報を目的に接触を図ってきたのではないかと推察されます。元従業員は社内サーバーに保管された技術情報をUSBで持ち出し、私用PCからフリーメールで中国企業に技術情報を流出させたと言われています。
推察ではありますが、技術開発部門に所属する元従業員に取って、機密事項である技術情報へのアクセスは容易であり、USBなどの外部媒体の使用を認めるセキュリティポリシーであれば、情報セキュリティの機密性の観点では、情報の持ち出しはいつでも起こり得たと言わざるを得ません。
内部関係者からの情報持ち出しは、その他にも発生しています。某IT企業の元従業員が競合企業への転職時に、前職の技術情報を持ち出した事件は、2021年春に話題になりました。前職の企業は、転職先の企業を訴訟提起し、1,000億円規模の損害賠償請求を行いました。
企業にとって、技術情報の保護は、自社の競争優位性を保つためにも、重要です。類似製品を作成されてしまうと、シェアの低下や価格の引き下げによって収益性の低下など、非常に大きな経営リスクとなります。
さらに、昨今話題となっている経済安全保障という観点でも、1つ目の事例でも紹介した海外企業への技術情報の流出は、避けなくてはならないものとなってきています。技術情報が軍事技術に転用され、私達の安全が脅かされる可能性や技術を利用して構築されたITサービス提供の裏から、企業や国が情報を搾取し、安全保障が脅かされる危険性を警鐘する声もあります。
内部からの情報漏えいの発生リスクとは
ここまで、内部関係者からの情報漏えいの事例を取り上げてきましたが、情報漏えい全体から見て、内部からの情報漏えいの割合はどの程度のものなのでしょうか。
IPAが2020年に発表した調査によると、情報漏えいのルートで最も発生頻度が多いのは、「中途退職者」という調査もあります。他には、契約満了や中途退職した契約社員や定年退職者からの情報漏えいという事例も報告されており、内部からの情報漏えいリスクは非常に高いと言えます。
「企業における営業秘密管理に関する実態調査2020」(IPA)
内部からの情報漏えいリスクを考える際に必要なのは、従業員は社内のどこにどのようなセキュリティ対策が実施されているのかを把握している点です。
USBメモリを使用できないように設定しても、印刷して持ち出し出来るかもしれません。印刷ログには、ファイル名が残されることを知っているかもしれません。クラウドサービスのDropboxの私的利用を禁止しても、エバーノートやGドライブの私的利用は許容されているかもしれません。
では、このような様々な情報出口を全て遮断してしまえばいいのか。例えば、印刷するために上司に許可を求めるような設計にしてしまうと、生産性が低下しうる可能性は大いに考えられます。スプレッドシートを含むGドライブを社内の共有用に使用されている企業もあるかもしれません。
関連企業との情報共有のために、社外との共有を許可している企業もあるかもしれません。このように現場の業務フローを見た際に、情報の出口を完全に遮断しきるのは、非常に難易度が高いといえます。
次は、もし情報漏えいしてしまったらという観点で考えてみたいと思います。日本アイ・ビー・エム株式会社が実施した「2021年データ侵害のコストに関する調査レポート」によると、情報漏えいしたデータの特定と封じ込めまで287日要しているそうです。内訳としては、検知するまでに212日を要してしまい、封じ込めに75日要するという結果でした。
2017年以降検知するまでに要する時間は、増加傾向であり、検知の難易度が高まっていることが見て取れます。検知までに7ヶ月程度を要してしまうと、場合によっては流出した技術はすでに転用され、自社が損害を被っている可能性もあります。
実際に前述のIPAの調査によると、営業秘密の漏えい事例の認識方法の中に、「自社しか知り得ない情報が掲載されているのを偶然発見した」、「自社しか知り得ない情報を他社が使用しているのを偶然発見した」というアンケート結果も公表されています。
技術情報の漏えいはどのように防ぐことが出来るのか
エルテスでは、従業員が使用するPCログや勤怠データなどの様々なデータを横断的に分析、つまりログを通じて人の振る舞いをあぶり出し、リスク予兆を検知するサービスを提供しています。
アメリカの犯罪研究者であるドナルド・R・クレッシーの不正の発生を高める3要素「動機・プレッシャー」「機会」「正当化」、不正のトライアングル理論という考え方があります。3要素が揃うと、不正のリスクが高まると考え方です。このような理論を元に、ログ分析から「動機・プレッシャー」「機会」などの情報をあぶり出し、リスク予兆に活用しています。
冒頭でご紹介した某化学メーカーで働いていた従業員は、自身の研究への社内評価が低いことを不満に思っており、流出先との情報交換によって、自らの知識を高め、社内評価を上げたいという思いがあったと述べています。
仮にではありますが、このような「動機・プレッシャー」を把握した上で、深夜誰も働いていないオフィスで社内サーバーから技術情報をダウンロードするような行為があった場合には、「動機・プレッシャー」に加えて、「機会」も内部不正が生じやすい状況が発生したとして、企業側にアナウンスを出すことが出来たかもしれません。
また、必ずしもアクセス履歴などのリスクシナリオに基づく分析だけでなく、普段の業務時は異なる振る舞い、例えば休日に重要情報にアクセスする、突然ファイル名を変更するなどのイレギュラーな振る舞いを行うユーザーを検知した場合は企業側にアナウンス致します。
オフィスにいれば、「顔色悪いな、最近残業多いな」という変化に気づくことが出来ましたが、テレワークでそのような変化には、気づきづらくなっていると思います。そのような問題に対しても、ログ上のふるまいから変化に気づき、そっとサポートすることも可能です。
ここで、一つ重要な点として、弊社サービスは従業員を監視するものではありません。不正のトライアングルの理論のように、要素が揃ってしまえば、誰しもリスクを伴う行動を取ってしまう可能性があるという前提で、インシデントが起きる前に予兆を把握し、個人も企業も守る。さらには、インシデントを防ぐことで、企業の信頼を守り、全従業員の雇用を守るという観点で利用いただきたいと考えております。
▶【リスク検知】内部脅威検知(IRI)サービスの詳細はこちら
情報持ち出し・情報漏えい対策は、エルテスへ
【関連情報】
〇関連資料
・情報漏えいの実態~セキュリティ・コンプライアンス担当者必見~
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム
・危機管理広報が知っておくべき、SNS空間における内部告発の実態とその影響
【参考】
- 「企業における営業秘密管理に関する実態調査2020」調査実施報告書(独立行政法人情報処理推進機構)
- 2021年「データ侵害のコストに関する調査」レポート(日本アイ・ビー・エム株式会社)