情報漏洩を未然に防ぐ、5つのポイント
—内部不正を未然に防ぐためにはどうしたらよいのでしょうか。
増山 最も基本的なことは、情報を持ち出した行為が過失によるのか故意によるのかが判定できるよう、誰が見てもそれが営業秘密であるとわかる状態にしておくことでしょう。経済産業省が出している「営業秘密管理指針」や「秘密情報の保護ハンドブック」なども参考に、情報漏洩が生じにくい体制づくりを急ぎたいものです。
竹内 それによると、ポイントとなるのは次の5つの対策です。
- 持ち出し困難化
- 接近の制御
- 視認性の確保
- 秘密情報に対する認識向上
- 信頼関係の維持・向上
このうち最初の3つは特に重要です。まず、(1)USBメモリの使用を禁じるなど、秘密情報を無断で複製したり持ち出したりすることを物理的・技術的に阻止する。次に、(2)サーバーやファイルにアクセス権を設定するなど、秘密情報に接触できる人物を制限する。そのうえで、(3)防犯カメラの設置、電子メールの監視、パソコン利用ログの記録などにより、秘密情報を持ち出しても見つかってしまう状況をつくる。これらの環境を整え、周知徹底することで、秘密情報に対する社内の意識が上がり、抑止力も高まります。
上口 経営者としては、働き方改革などを通じてリテンション(人材保持)に取り組み、社員の信頼感とエンゲージメントを高めておくことも忘れてはなりませんね。それでも、残念ながら現実には不正が起きる。そのリスクを完全に排除することは困難である以上、きちんと防御し、情報資産を守るシステムを具備しなければなりません。それが、我々のような情報セキュリティ会社の仕事です。
実効性のある対策は秘密情報のラベリングから
—防御システムの構築に当たり、どんな対策から始めますか。
加藤 紙の文書にマル秘などと印をつけるのと同様、デジタルデータにもラベルをつけ、適切な場所で保管・管理をする。これが第一歩です。前段として、自社にとってどんな情報を保護すべきか、組織内の全データを把握し、評価して分類する作業が不可欠です。
例えば、マイクロソフト社の場合、従業員個人に関するデータや外部への公開を前提とする情報、社外には出さず暗号化やアクセス制限で保護するデータなど、社内で利用される情報を5つに分類し、さらにアクセス権限にも段階を設けて重層的に管理しています。
こうしたラベルは個々の企業の事情に応じて整理すべきものですが、多くの企業で手つかずとなっているのが実情です。まずはプロジェクトを組み、独自のガイドラインを策定したいですね。
上口 明確な指針に沿ってラベルを設定し、社員研修などで理解を醸成している企業のセキュリティレベルは確実に向上します。
加藤 ラベルの設定後、日々のデータを仕分けていく作業は自動化も検討したいところです。人の判断を介すると、「これはまあいいか」などと基準が曖昧になる恐れもありますから。文書内容から自動的にラベルを判別してアクセスを制御したり、不正な動きを感知して警告を発したり。こうしたことがシステムとして可能になるクラウドで運用すれば、個々の端末とリアルタイムで同期し、社内の全データを一元的に調査したり管理したりできるので安心です。
上口 退職予定者の利用データから一連の行動を解析し、危険度を数値で表すようなシステムも実用化されています(図参照)。
竹内 最終的に情報を扱うのは人ですから、そうしたシステムで万全を期すと同時に普段の意識づけを繰り返すことも大切ですね。
増山 そして万が一、不正が疑われる事態が発生したら、法的な相談も含めて素早く対処することをおすすめします。
上口 当社ではマイクロソフトと連携して企業セミナーを開催していますが、法的な部分も含めて関心の高さを実感します。ともにタッグを組み、不正を起こさない環境づくりを進めていきましょう。
進化する内部不正対策
~ソフトバンク情報漏洩事件に学ぶ~
ソフトバンク元社員による「手みやげ転職」事件(2020年2月発覚)。同社ではそれ以前から全社員に対して秘密保持契約の締結やセキュリティ研修を実施してきたが、退職者による秘密情報の持ち出しを防ぐことができなかった。この反省に立ち、2021年1月に同社が公表した再発防止策としての追加施策(下記参照)には、本文でも触れた情報漏洩対策の5つのポイントが反映されている。
●ソフトバンクの追加対策
- 情報資産管理の再強化(管理ポリシーの厳格化、棚卸しとアクセス権限の再度見直し)
- 退職予定者の業務用情報端末によるアクセス権限の停止や利用の制限の強化
- 全役員と全社員向けのセキュリティ研修(未受講者は重要情報資産へのアクセス不可)
- 業務用OA端末の利用ログ全般を監視するシステムの導入
(ソフトバンクWebサイトより)
