catch-img

振る舞い検知とは?退職者のデータ持ち出しを防ぐ仕組みと効果を解説

雇用が流動化する昨今の日本市場において、企業が直面する最大のセキュリティリスクの一つが、退職者による営業秘密や技術データの持ち出しです。人材の流動性が高まる一方で、組織が長年培ってきた知的財産が競合他社に流出するリスクは、企業の競争力を一瞬にして失わせかねない重要な課題となっています。

従来のセキュリティ対策は、外部からのサイバー攻撃を防ぐ境界防御が主流でしたが、退職者によるデータの持ち出しは、正規の権限を持つ内部の人間によって、普段の業務を装って行われます。そのため、従来のファイアウォールやアンチウイルスソフトでは検知することが極めて困難であるという、構造的な課題を抱えています。

そこで今、BtoB市場およびセキュリティ業界で急速に注目を集めているのが「振る舞い検知」というアプローチです。

このコラムでは、退職者によるデータ持ち出しの実態を解き明かし、従来の対策では防げない理由や、振る舞い検知の仕組み、導入するメリットなどを解説します。

目次[非表示]

  1. 1.統計データに見る内部不正の実態
    1. 1.1.1.雇用の流動化
    2. 1.2.2.テレワークとクラウドの普及
    3. 1.3.3.生成AIの普及
  2. 2.実際にあった退職者のデータ持ち出し事例
    1. 2.1.事例1:退職直前の顧客リスト大量ダウンロード
    2. 2.2.事例2:大手化学メーカー技術データ持ち出し事件
    3. 2.3.事例3:テレワーク環境を悪用した個人クラウドへのデータ蓄積
  3. 3.退職者のデータ持ち出しによるリスク
    1. 3.1.1.競争力の低下と売上減少
    2. 3.2.2.社会的信用の失墜と顧客離れ
    3. 3.3.3.莫大な損害賠償と刑事罰
    4. 3.4.4.事後対応による多大なコストと業務負担
  4. 4.振る舞い検知(UEBA)とは
  5. 5.振る舞い検知(UEBA)の仕組み
    1. 5.1.静的ヒューリスティック法
    2. 5.2.動的ヒューリスティック法
  6. 6.振る舞い検知(UEBA)を導入するメリット
    1. 6.1.「正しいID」で行われる、不自然な行動を見抜く
    2. 6.2.実害が出る前に「予兆」を捉え、シャットアウトする
  7. 7.退職者のデータ持ち出し対策ならエルテス
    1. 7.1.Internal Risk Intelligence(内部脅威検知サービス)
    2. 7.2.内部不正診断サービス
    3. 7.3.内部不正ホットライン
  8. 8.まとめ

統計データに見る内部不正の実態

データ持ち出しは以前からある問題ですが、これまで以上に企業の存続を揺るがす致命的なリスクへと変化してきているといえるでしょう。

順位

「組織」向け脅威

初選出年

10大脅威での取り扱い

(2016年以降)

1

ランサム攻撃による被害

2016年

11年連続11回目

2

サプライチェーンや委託先を狙った攻撃

2019年

8年連続8回目

3

AIの利用をめぐるサイバーリスク

2026年

初選出

4

システムの脆弱性を悪用した攻撃

2016年

6年連続9回目

5

機密情報を狙った標的型攻撃

2016年

11年連続11回目

6

地政学的リスクに起因するサイバー攻撃
(情報戦を含む)

2025年

2年連続2回目

7

内部不正による情報漏えい等

2016年

11年連続11回目

8

リモートワーク等の環境や仕組みを狙った攻撃

2021年

6年連続6回目

9

DDoS攻撃(分散型サービス妨害攻撃)

2016年

2年連続7回目

10

ビジネスメール詐欺

2018年

9年連続9回目

出典:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2026」

独立行政法人情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威 2026」において、「内部不正による情報漏えい等」が「組織」向け脅威として11年連続で選出されていることからも、その深刻さがうかがえます。

内部不正が企業の重要課題になっている背景には以下の要因があげられます。

1.雇用の流動化

終身雇用が当たり前ではなくなり、キャリアアップのための転職が一般化したことで、「手土産転職」のリスクが急増しています。次の職場で即戦力として認められたいという焦りや、「自分が作った資料だから」という歪んだ正当化により、退職予定者が罪悪感なく前職の機密データを持ち出すケースが増加しています。

実際、エルテスが実施したアンケートでは、約5人に1人が前職の情報を持ち出した経験があると回答しており、意図的な持ち出しリスクへの警戒が必要です。

▶転職時の情報管理アンケート調査【無料】ダウンロード

2.テレワークとクラウドの普及

働き方が多様化し、自宅やカフェなど、オフィス以外の目視での管理の目が行き届かない環境から社内の重要データにアクセスできるようになりました。また、クラウドストレージの外部共有リンクを個人のメールアドレスに送るといった正規機能の悪用が横行しており、従来のUSBメモリ禁止だけでは持ち出しを防ぎきれなくなっています。

3.生成AIの普及

近年特に警戒すべきなのが、生成AIの台頭です。JIPDEC(一般財団法人日本情報経済社会推進協会)とITRの「企業IT利活用動向調査」によると、企業の45%が生成AIを利用しており、機密情報の入力による漏洩リスクが新たな懸念材料として顕在化しています。

退職前の業務引き継ぎ書を効率よく作成するために、社外秘のソースコードや顧客データを良かれと思って生成AIに入力してしまうなど、悪気のない「うっかり流出」という新たな漏洩ルートが増加しています。

▶ユーザーの検索行動が変化生成AI時代における新たな企業リスクとは【無料】ダウンロード

実際にあった退職者のデータ持ち出し事例

では実際に退職者によるデータ持ち出しにはどのようなものがあったのでしょうか?以下で詳しく紹介していきます。

事例1:退職直前の顧客リスト大量ダウンロード

競合他社への転職が決まった営業担当の従業員が、退職直前に自社の営業秘密であるクライアントリストを不正に持ち出した事例です。

この従業員は日頃から該当の顧客リストにアクセスする正規の権限を持っていたため、システム上は「通常のアクセス」として処理されてしまい、持ち出しをその場で未然に防ぐことはできませんでした。結局、流出が発覚したのは退職翌月に実施された社内調査のタイミングでした。

この企業が置かれていた状況としては、権限を持つ従業員への動的な監視が不十分であったことが挙げられます。

再発防止策としては、「退職を控えた時期」「普段の業務量を大きく超える大量のデータ」「一括でダウンロード」という、通常とは明らかに異なる振る舞いを検知し、流出の直前でアラートを鳴らしてダウンロードを防止できる仕組みの導入が求められます。

事例2:大手化学メーカー技術データ持ち出し事件

在職中の技術職の従業員が、機密性の高い製品の設計データを私物のハードディスクに複製して持ち出し、その後ライバル企業へと転職した事例です。社内システムがこの不審なデータの動きを検知したのは、すでにその従業員が退職した後のことでした。結果として、データの持ち出しそのものをその場で食い止めることはできませんでした。

単なるアクセスログの記録や確認だけでは、事後の証拠集めには役立っても、今まさに起きている情報漏洩をリアルタイムで止めることはできないという厳しい現実です。

たとえば、私物デバイスの接続や、重要フォルダからの大量コピーといった危険なアクションが発生した瞬間に、システムが自動で不審な振る舞いと判定し、その場でアカウントを一時停止するような自動防御の仕組みがあれば、流出を未然に防げた可能性が高いと言えます。

▶製造業で起こる情報持ち出しリスクと対策【無料】ダウンロード

事例3:テレワーク環境を悪用した個人クラウドへのデータ蓄積

テレワーク勤務中の従業員が、自宅から企業のサーバーにアクセスし、製品情報などの機密データを無断で個人のクラウドストレージに複製・蓄積していた事例です。自宅からのリモートアクセス自体は正規の手続きだったため、多要素認証などの対策では突破されてしまいました。

さらに、企業が把握していないシャドーITへのアップロードだったことから、従来のネットワーク監視だけではその動きを追いきることができませんでした。

この事例は、テレワーク環境におけるセキュリティ対策の盲点を示しています。認証やネットワークといった外側の防御だけでなく、エンドポイントでのユーザーの行動ログを相関的に分析する「振る舞い検知」の仕組みが不可欠です。

たとえば、「業務時間外の不自然なアクセス」や「許可されていない外部ストレージへのデータ転送」といった複数の異常な挙動を捉えることができれば、水面下で静かに進んでいた数千ファイルに及ぶ不正な蓄積を、早期に発見できた可能性が高いと言えます。

▶事例から学ぶ、転職者による情報持ち出しの特徴【無料】ダウンロード

退職者のデータ持ち出しによるリスク

優秀な従業員の退職だけでも企業にとっては痛手ですが、そこにデータの持ち出しが重なった時、それは単なる人事課題ではなく、企業の存続を揺るがす経営課題へと発展する可能性があります。

では退職者によるデータ持ち出しのリスクにはどのようなものがあるのでしょうか。主に4つの深刻なリスクについて解説します。

1.競争力の低下と売上減少

持ち出されるデータの多くは、顧客リストや独自技術のソースコード、未公開のノウハウといった、企業の競争力の源泉そのものです。

これらが競合他社や転職先に渡った場合、長年かけて築き上げた優位性は失われかねません。最悪のケースでは、自社のノウハウを模倣した類似サービスを低価格で展開され、シェアを根こそぎ奪われる可能性すらあります。

さらに多くの場合、退職日当日に大量に盗まれるわけではなく、数ヶ月前から日々の業務を装い、正規のアクセス権を使って、少しずつデータを手元に集める傾向があります。この静かな動きは、単純なアクセス権限の管理だけでは見抜くことが困難です。

2.社会的信用の失墜と顧客離れ

データ流出は、企業のブランドイメージに致命的な打撃を与えます。特に取引先や顧客からセキュリティ管理がずさんな企業とみなされれば、BtoBビジネスであれば即座の契約解除、BtoCであれば一斉の顧客離れを引き起こす恐れがあります。

実際には、「元従業員の転職先が、自社と酷似した営業をかけてきた」「顧客から指摘された」という段階になって初めて流出に気づくケースも少なくありません。すでに情報が世に出回った後では、失った社会的信用を取り戻すのは至難の業です。

▶SNS炎上から企業やブランドを守る対応のポイント【無料】ダウンロード

3.莫大な損害賠償と刑事罰

個人情報や他社から預かった機密情報が漏洩した場合、法律による厳しい裁きが待っています。「不正競争防止法」や「個人情報の保護に関する法律(個人情報保護法)」に抵触すれば、法人に対して高額な罰金が科される可能性があります。特に個人情報保護法では、重大な違反について最大1億円以下の罰金が科される可能性があります。また、被害を受けた顧客からの損害賠償請求は数千万円〜数億円規模に膨れ上がることも珍しくありません。

「自分が作った成果物だから」「転職先で少し参考にするだけだから」という、退職者の罪悪感のない甘い認識が引き金になるケースが後を絶ちません。

関連記事:個人情報の持ち出し事例7選から学ぶ!発覚後の対応と法的リスク

4.事後対応による多大なコストと業務負担

万が一、データの持ち出しが疑われる事態が発生した場合、企業はその調査と対応だけで通常業務が完全にストップするほどの負担を強いられます。原因究明のためのログ解析費用、弁護士への相談費用、監督官庁への報告書作成、そして被害者への謝罪対応など、直接的・間接的な損失は計り知れません。

過去の膨大なアクセスログを後から手作業で遡り、「どのPCから、いつ、何が持ち出されたか」を特定するには、多大な工数が必要となります。調査の規模や状況によっては、数百万円の費用と数週間の時間がかかります。

従来のセキュリティ対策は、権限のない人間の侵入を防ぐ境界型防御、過去のログを記録するかのどちらかが中心でした。しかし、退職者によるデータ持ち出しの悪質な点は、昨日まで信頼していた人間が、正規の権限を使って、普段通りに見える業務の中で行うという点です。

では普段通りに見える従業員のいつもと違う怪しい動きを、一体どうやって検知すればいいのでしょうか。その答えとなるのが、今回解説する「振る舞い検知」というアプローチです。

▶SNSのクレーム対応で炎上する企業のパターンと対策

振る舞い検知(UEBA)とは

UEBA(User and Entity Behavior Analytics|ユーザー・エンティティ行動分析)は、機械学習や統計モデルを用いて、ユーザーやエンティティごとの通常行動パターン(ベースライン)を学習し、ベースラインから逸脱した異常行動を検知し、リスクと判断する技術です。

たとえば、特定のユーザーが通常はアクセスしない深夜帯に機密データベースへ大量のアクセスを行った場合や、業務とは無関係な外部ストレージへの大容量データのアップロードが発生した場合などが該当します。

UEBAは、ユーザーやデバイスの振る舞いを常時モニタリングし、リスクレベルの変化に応じて動的にアクセス制御を行うための判断材料を提供します。これにより、静的な権限管理では防ぎきれない、認証情報の盗用や内部不正による被害を最小限に抑えることができます。

関連記事:UEBAとは?SIEM・EDRとの違いと振る舞い検知の重要性を解説

振る舞い検知(UEBA)の仕組み

従来のウイルス対策は、過去に見つかったウイルスの特徴情報であるシグネチャと照合する仕組みでした。しかし、これでは次々と現れる新種のウイルスや未知のマルウェアに対応できません。そこで登場したのが、プログラムの特徴や挙動から不審な点を見つけ出す振る舞い検知(ヒューリスティック検知)という技術です。

この検知システムは、アプローチの違いによって「静的」と「動的」という2つの仕組みに分かれています。

静的ヒューリスティック法

静的ヒューリスティック法は、実際にプログラムを動かすことなく、不審なファイルを実行する前に、コードや構造をスキャンして解析する技術です。

過去のマルウェアでよく見られた命令や不審な特徴が含まれていないかをルールベースでチェックするため、プログラムを実行せずに脅威を検出できます。パソコンへの負荷が軽く、被害が発生する前に危険なファイルを発見できるのが特徴です。

また、マルウェアと断定できないものの不審な特徴を持つファイルを検出した場合、その情報はログとして記録されます。UEBAはこうしたログをユーザーや端末の行動データと組み合わせて分析することで、内部不正や未知の攻撃の兆候を早期に発見します。

動的ヒューリスティック法

動的ヒューリスティック法は、ファイルの中身を見るのではなく、安全な隔離環境(サンドボックス)で実際にプログラムを動かして、その挙動を観察する技術です。

コードがどれだけ巧妙にカモフラージュされていても、実行した途端に重要なシステム設定を勝手に書き換え始めたり、裏で怪しいサーバーへ通信を試みているといった、実際の不正な動きを捉えて検知します。

UEBAは、これらの具体的な挙動ログを受け取ることで、どのユーザーのアカウントが不正に利用されているのかを組織全体の視点からプロファイリングできるようになります。

関連記事:UEBAが実現するセキュリティの高度化

振る舞い検知(UEBA)を導入するメリット

ここまで振る舞い検知(UEBA)の仕組みについて解説してきました。では導入するメリットにはどのようなものがあるのでしょうか。以下で詳しく解説していきます。

「正しいID」で行われる、不自然な行動を見抜く

退職を考えている従業員によるデータ持ち出しにおいて厄介なのは、彼らが正当なアクセス権限を持っているという点です。多くの企業では、IDやパスワードの管理、つまり誰にアクセスを許可するかという入り口の防犯には注いでいます。しかし、いざ入ってしまえば、従来のシステムは正規のユーザーだから問題なしと処理してしまいます。

しかし、UEBAは権限があるかではなく、その権限を使って、普段と違う怪しい行動をしていないかを監視します。

例えば、普段は自分の営業エリアのデータしか見ない従業員が、突然他部署の機密フォルダを開き、大量の顧客リストをダウンロードし始めた場合、UEBAはいつもと違う明らかな異常行動として即座にアラートを鳴らします。

パスワード認証という最初のセキュリティの壁をすり抜けた、巧妙な内部不正の違和感を確実に検知できる点が、従来のセキュリティには真似できないUEBAならではの強みです。

実害が出る前に「予兆」を捉え、シャットアウトする

データの持ち出しトラブルで避けたいのは、従業員が退職した後に、初めて流出が発覚するというケースです。競合他社へ転職した元従業員が自社の顧客に営業をかけるといった、最悪の形で気づく企業は少なくありません。しかし、退職後からデータを回収したり、法的な責任を追及したりするには、膨大な時間と多額の費用を要することになります。

UEBAを導入すれば、内部不正者は企業を辞める前に行う不自然なログインや外部ストレージへのアクセスといった不審な予兆をリアルタイムに検知できます。

つまり、データが社外に流出してしまう前、まだその従業員が社内にいる段階で対策を講じることができます。事後処理に追われるのではなく、実害を未然に防ぐことができる安心感は、企業にとって非常に大きなメリットといえるでしょう。

▶情報漏えい発生時の対応と被害を最小限に抑えるための対応手順【無料】ダウンロード

退職者のデータ持ち出し対策ならエルテス

Internal Risk Intelligence(内部脅威検知サービス)

内部脅威検知サービスでは、AIによる異常検知と専門アナリストによる状況判断を組み合わせることで、内部不正によるデータ持ち出しの予兆を早期に捉え、具体的な対策を講じることが可能です。

また、翌営業日には分析を完了し、タイムリーにリスクを把握することが強みとなっており、転職市場の拡大、テレワークなど働き方の多様化、経済安全保障リスクの高まりを背景に、大手製造業や金融機関を中心に幅広い業種での導入が進んでいます。

内部不正診断サービス

内部不正診断サービスでは、内部脅威検知サービスの運用で培った内部不正を検知するノウハウを駆使し、お客様組織が内部不正による情報漏洩事故に対して耐性があるのかを、組織体制面とIT活用面から調査します。

1万パターン以上の不正な振る舞いからのリスクシナリオ検知と、異常検知モデルによるシステム分析を行い、最終的にアナリストによる人の目で再分析しご報告します。高い精度で自社の課題を明確にし、トラブルを未然に防ぐ健全な組織づくりを強力にサポートしてくれます。

内部不正ホットライン

内部不正ホットラインは、情報漏洩やデータ改ざんといった社内で不正トラブルが起きた際、または疑わしい時に事案の解決を速やかに支援してくれる緊急対応サービスです。

「情報が外部に流出したかもしれない」「退職者の行動が不審だ」といった有事の際に、初期対応のアドバイスからPCやログなどの証拠データ保全、高度な調査までを専門家がサポートします。

豊富な実績に基づき、トラブルの原因究明からダメージの最小化、さらには再発防止策の策定まで、企業の危機対応を迅速に支えるサービスです。

まとめ

人材の流動化や働き方の多様化が急速に進むなか、退職者によるデータの持ち出しは、どの企業にとってもいつ当事者となってもおかしくない深刻な経営課題となっています。

エルテスは、数多くの営業秘密や技術データの持ち出しを未然に防いできた豊富な検知実績を誇り、実効性の高いセキュリティ対策を提供しています。さらに、日本のビジネス習慣や固有の労務環境を熟知した純国産サービスであるため、海外製ツールでは対応が難しい日本企業ならではの細やかなリスク検知や、迅速で手厚い日本語サポートが可能です。

最先端のAI分析と専門アナリストの確かな目を組み合わせた「内部脅威検知サービス」をはじめ、自社のセキュリティ体制の弱点を可視化する「内部不正診断サービス」など、企業の課題に寄り添った最適なソリューションを用意しています。

退職を控えた従業員の行動に懸念がある、自社の情報管理に盲点がないか確かめたいとお考えの担当者様は、重大なトラブルに発展して経営危機を招く前に、まずはお気軽にエルテスへご相談ください。

内部不正対策は、エルテスへ

著者・監修|株式会社エルテス編集部
著者・監修|株式会社エルテス編集部
株式会社エルテスは、これまで多種多様な企業のデジタルリスク対策に尽力してきたノウハウを生かし、企業のリスク課題・デジタル課題に役立つコンテンツを提供しています。 編集部ではネット炎上やSNS運用トラブル、ネット上の風評被害・誹謗中傷、情報セキュリティ対策など様々なビジネスのリスク課題に関するコラムを発信しています。
CONTACT
見出し2装飾

上場しているからこその透明性の高いサービスを提供
1,000社以上への提供実績

お電話でのお問い合わせはこちら
(平日10:00~18:00)
ご不明な点はお気軽に
お問い合わせください
デジタルリスクに関するお役立ち資料を
ご用意しています
-SEARCH-
記事を探す

-PICKUP-
〈問い合わせ〉リスク対策を提案するエルテスの無料相談。

-SEMINAR-
開催予定のセミナー

-WHITEPAPER-
お役立ち資料

-COLUMN-

人気記事