ソフトバンク本社(2020年10月2日撮影、写真:西村尚己/アフロ)

 警視庁は2021年1月12日、携帯電話大手「ソフトバンク」の高速・大容量通信規格「5G」に関する営業秘密の不正持ち出し事件で、同社の元技術者で競合他社の「楽天モバイル」に転職した合場邦章容疑者(45)を不正競争防止法違反(営業秘密領得)容疑で逮捕した。

 この報道を見て筆者は、ソフトバンクのサイバーセキュリティ対策の杜撰さに驚いた。

 新聞報道による事件の経緯は次のとおりである。

①警視庁の発表などによると、合場容疑者はソフトバンクに勤務していた2019年12月31日の退職日当日、社外の私有パソコンから同社が管理するサーバーに接続し、同社の営業秘密に当たる5Gの技術情報ファイルを遠隔操作で複製し、身元が発覚しにくいフリーメールアドレスに送信して、ソフトバンクの営業秘密を不正に持ち出した疑い。

②合場容疑者は、情報を持ち出したとされる2019年12月31日付で同社を退社し、翌日の2020年1月1日に楽天モバイルに入社していた。

③ソフトバンクによると、合場容疑者は2004年7月に同社の前身の会社に入社した。通信ネットワーク設備の工事や維持を担う「線路主任技術者」の国家資格を取得し、5Gを含めた携帯電話の基地局設置などに携わっていた。

 2019年11月下旬に楽天への転職を申し出た。退職後に合場容疑者から返却された社有のパソコンから技術情報を自分のメールアドレスに送った痕跡が見つかった。

④ソフトバンクによると、合場容疑者の退職2か月後の2020年2月に流出が判明し、同社が警視庁に相談していた。

 この事件の経緯を見ると、ソフトバンクではIT専従者の退職手順が設定されていなかったのではないとみられる。

 組織は、IT専従者の退職が決まったならば、当該者の資産へのアクセスリスクを軽減するために

①当該者のシステムアクセスを防止するために当該ユーザIDをブロックする②システムのパスワードを変更するなどの処置を直ちに実施しなければならないことは、サイバーセキュリティ対策の基本である。

 退職申し出のあった11月下旬から営業秘密を持ち出した12月31日までの間、ソフトバンクは何をしていたのか。

 ソフトバンクではIT専従者の退職手順が設定されていなかったのか、またはIT担当者が処置するのを失念したという単純なヒューマンエラーかは不明であるが、どちらにしても信じられない失態である。

 合場容疑者の行為は、サイバーセキュリティ分野ではインサイダー脅威と呼ばれる。

 インサイダーの世界共通の定義は存在しない。

 米国のカーネギー・メロン大学のコンピューター緊急対応センター(Computer Emergency Response Team:CERT)は、「現もしくは元従業員、契約社員、派遣社員、またはビジネス・パートナーで、組織のネットワーク、システム、またはデータへのアクセス権が与えられている者、もしくは与えられていた者で、組織の情報若しくは情報システムの機密性、完全性、または有用性に悪影響を与えるような方法で、このアクセスレベルを故意に超えて使用する者またはこのアクセス権を悪用する者」をインサイダーと定義している。

 退職手順はインサイダー対策の一部である。

 以下、初めにインサイダー対策について述べ、次にIT専従者の退職手順について述べる。