手土産とは、本来であれば受け取ると嬉しいものだ。しかしセキュリティの世界ではこの言葉は歓迎されていない。退職者が企業秘密を持ち出し、新たな勤務先に持ち込む行為を指す言葉だからだ。こうした手土産は、残念ながら性善説では排除できない不正行為だ。現役の従業員による漏洩も故意または過失を問わず後を絶たない。情報漏洩は今や、経営陣の引責辞任やブランドの毀損、株価低下にもつながる大きなリスクでもある。防止するには経営陣は何を知り、どのような手を打つべきなのか。『経営陣の引責辞任も―業務委託先からの「内部不正」と退職者の「手土産」問題』と題した講演のエッセンスを紹介する。
内部からの情報漏洩はサイバー攻撃起因の10倍以上
情報漏洩事件が後を絶たない。それも内部からの漏洩だ。情報漏洩というと、サイバー攻撃によって引き起こされるという印象が強いが、実際にはそうした外的要因ではなく、内部からの不注意または不正による漏洩、すなわち内的要因によって発生していることが大半だ。情報漏洩対策は、こうした現状を踏まえて行われなくてはならない。
2023年は多くの企業での情報漏洩が報じられた。たとえば、通信会社では派遣社員が約10年間に渡り900万件を超える顧客情報を不正に持ち出し、商社やメーカーでは従業員が退職のタイミングで営業秘密を持ち出してもいる。前者では経営トップが引責辞任に追い込まれ、後者では当事者が逮捕された。警察庁のまとめによると、営業秘密侵害の摘発件数は年々増加傾向にある。
「2023年の不正競争防止法改正を受け、デジタル情報資産の保護対象が拡大され、退職者や業務委託先による情報漏洩も規制対象となりました。ただし、こうして報じられるのは氷山の一角です」
日本プルーフポイント株式会社 チーフエバンジェリスト 増田 幸美 氏
そう話すのは、日本プルーフポイント株式会社でチーフエバンジェリストを務める増田 幸美氏だ。同社は画面操作監視市場におけるベンダー別売り上げで首位に立つ(2022年度、ITR調べ)、情報漏洩対策のトップランナーだ。増田氏はまた漏洩の多くは外部からの攻撃ではなく、内部から発生しているとも指摘する。独立行政法人情報処理推進機構(IPA)が行った「企業における営業秘密管理に関する実態調査2021」によると、実際の営業秘密の漏洩ルートのうち、サイバー攻撃などによるものはわずか8%に過ぎない。9割近くを占めるのは、従業員や退職(予定)者といった内部の脅威によるものだ。
「従業員は本来、組織にとって最大の資産です。しかし、見方を変えれば脆弱性でもあるのです」
内部に起因する情報漏洩は企業ブランドのイメージを著しく失墜させるだけなく、平均で64万6000ドル、日本円にして1億円に迫る金銭的損失を与えるという試算もある。企業は決して他人事ではない内部からの情報漏洩対策を、ゼロトラストの視点から徹底する必要がある。
働き方の多様化と労働力の流動化がリスクを高める
内部からの情報漏洩を防ぐには、漏洩の当事者や動機をパターンに分類し、それぞれのパターンに対して最適な手段を講じる必要がある。パターンは主に3分類できる。1つ目は、自社の従業員や業務委託先の従業員など、アクセス権限を持った人物による不注意や怠慢が原因であるものだ。作業効率化のためにUSBメモリーでデータを持ち出し、それを紛失するようなケースがこれにあたる。
「この背景には、まず守るべき情報が特定されておらずアクセス管理もされていないなど、情報管理のルールが明確でなく体制が不十分であることが多く見受けられます。リモートワークの普及に管理体制の更新が追いついていないケースも少なくありません」
これらの整備・徹底と、システムによるリアルタイムな監視とそれに基づく注意喚起という2つのアプローチが必要だ。2つ目は、アクセス権限を持った人物が悪意を持って行う不正行為だ。人事評価に不満があったり、権限が集中していたり、退職直前だったりといった従業員がデータを持ち出すなどのケースが相当する。
「新型コロナの影響で働き方が変化したことで、アメリカでは2022年、離職率が過去最大になりました。日本でも転職は珍しいものではなくなっており、20代から50代の、働き盛りの技術系正社員の転職が増えています」
プルーフポイントが2023年にCISOを対象に行なった調査では、実に82%が「退職者が情報漏洩に関わっていた」と回答しているという。退職時にすべてのデータを削除することを義務付けたり、前職のデータを持ち込むことを禁じたりする企業もあるが、性善説ではすべての情報漏洩は防げていないのが実態だ。また3つ目は、本来はアクセス権を持たない人物がアクセス権を窃取したり、なりすましたりして行う不正行為がある。
不正行為と被害を防ぐには機会と正当化する理由を奪う
これらの不正行為はどのように防ぐべきなのか。これについては、アメリカの犯罪学者ドナルド・R・クレッシーが提唱する『不正のトライアングル』をベースに考えると理解がしやすい。
「クレッシーは、不正行為とは動機と機会と正当化の3つの要素によって引き起こされるもので、どれか一つの要素を削ることで防止できるとしていています」
動機には具体的には、金銭目的やスパイ活動などがあるが「動機に対処するのは難しいのが現状です。それに比べると機会と正当化は比較的制御しやすいものです」と増田氏。
一方、機会と正当化はコントロールがしやすい。正当化とはたとえば「みんなルールを守っていないので自分も守らなくていい」「会社から評価されていないのでこれくらいのことはしても構わない」といったもの。こうした発想にならないようにするには、定期的に秘密保持契約を締結したりコンプライアンス教育を徹底したりするべきだと増田氏は強調する。
日本プルーフポイント株式会社チーフエバンジェリスト 増田 幸美 氏
そして、機会はリアルタイムでの監視と注意喚起、抑止によって奪うことができる。調査会社大手のガートナーは、内部の人物による不正を防ぐシステムに求められる機能として、望ましくない動作の測定と検出、そして封じ込めを挙げている。この機能を満たすプルーフポイントの『Proofpoint ITM (Insider Threat Management)』に代表されるテクノロジーの普及は、情報漏洩を防止するだけでなく、その被害の拡大を未然に防ぐことにも寄与する。
「実際に、休暇中に会社支給のPCから個人のデバイスやクラウドストレージに機密情報を含む1万2000ものファイルを転送していたケースでは、企業は1週間以内に不正行為と競合他社との面接を調整中であることを把握し、1カ月以内に訴訟に至ったケースもあります」
ただし、運用にあたっては十分に注意すべき点がある。
「従業員のプライバシー、それから監視要員のストレスにも配慮しなくてはなりません。あくまでシステムは99.99%の善良な社員を守るために0.01%に抑止をかける目的で使われるべきです」と増田氏。
大切な人材に安心して働いてもらい、また、情報漏洩の糸口としてしまわないため、企業の適切な対策が求められている。
<関連サービスページ>
日本プルーフポイントのホームページはこちら
「Proofpoint ITM」サービスページはこちら
<PR>
