悩み(7) 内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
g社は自社が保有する製造技術やノウハウ等の営業秘密が企業価値の源泉となっており、その保護に多額の投資を行う一方、内部不正を通じた流出を懸念していた。
基本情報
g社の状況
- 用途特化型の素材メーカー。競合他社にない製造技術が高く評価されており、グローバルでの市場シェアで業界有数。
- 製造技術やノウハウが海外の競合企業に漏えいした場合、利益減少や信用失墜による自社へのダメージのみならず、自社製品を利用して高品質の製品を製造している国内下流メーカーの競争力低下等、国内経済への影響も懸念される。
g社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 7,000人 | |
| 管理 体制 | CISOの有無 | 有 |
| 専任のセキュリティ部署 | 有 | |
| サイバーセキュリティ の主管部署 | 情報セキュリティ管理室 | |
セキュリティ担当者の問題・悩み
製造技術に関する営業秘密については、当該情報を管理している情報システムに対し、外部からのサイバー攻撃対策として、仮に従業員の端末やディレクトリサービスが乗っ取られても営業秘密に直ちにアクセス可能とならないよう、ネットワーク上で隔離管理を行っている。その一方で、悪意をもった従業員の内部不正による不正な取得・持ち出しについては、業務の実施過程において当該情報へのアクセスが必要な以上、完全に防ぐことは困難と考えている。
また、内部不正対策を厳しくし過ぎることで従業員が「自分が信用されていない」と感じ、かえってモチベーション低下を招いてしまうようなことも避けたい。
取組(7) 内部不正を検知するための複数対策を組合せて導入し、周知により発生を抑制
解決に向けたアプローチ
g社のCISOは内部不正による営業秘密の流出防止対策として次表の対策を定め、費用面の手当を含めて経営層の承認を得た。
g社が実施した内部不正対策に関する取組
| 目的 | 実施した事項 |
|---|---|
| 内部不正と思われるアクセスを早期に検知する |
|
| 不正なアクセスの証拠を保全する |
|
| 自社から漏えいした情報であることがわかるようにする |
|
対策の実施にあたってCISOが留意・工夫した点は次の通りである。
- 『サイバーセキュリティ関連法令Q&Aハンドブック』(NISC)を参考に、営業秘密保護に関して留意すべき法令を抽出し、計画している対策が法令に抵触しないことを確認した。
- 従業員による営業秘密へのアクセスを対象とする常時(24時間365日)監視の導入にあたっては、会社や社員を守るための取組として導入することを社長から従業員等全社に伝えることとした。
- 他社における内部不正事例において、行為者が「気づかれずに持ち出せると思った」と考えて犯行に及ぶ例が多いことを踏まえ、複数の対策を組み合わせて実施しているので、どこかで露見する可能性が高いことを、情報にアクセスできる全ての関係者にわかるように周知した。
- 社内コミュニケーションの問題が内部不正の原因となることも懸念されるため、上司や経営層が従業員の悩みや意見を聞く機会を積極的に創出することで、その解消に努めることとした。
得られた知見
内部不正による情報漏えいも近年のサイバー攻撃と同様、行為者が成功を期待して実施するものであり、その抑止には行為者に不正が必ず露見すると認識させることが重要である。これを踏まえると今後の技術の変化によってもその認識が維持されるよう、絶えず不正の可能性を想定していく必要があると考えている。