メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

IT記者が考える、転職者の情報持ち出しを防ぐツールの決定版

退職者が多いこの時期に営業秘密が漏えいしてしまうリスクは極めて高いらしい。在籍した企業の情報を持ち出して転職先で使ってしまおうと考える人が多いようだ。内部不正による情報漏えいを防止するために「あるツール」を導入した企業がいる。

» 2024年03月29日 08時00分 公開
[キーマンズネット]

 4月は卒業、入学シーズンだ。ご多分に漏れず、我が家も子供たちの卒業や入学イベントが続出している。次男は小学校入学のタイミングとなり、5月に予約して3月にやっと届いたランドセルを眺めては、入学する日を楽しみにしているようだ。

 自分にもそんな時期があったのか定かではないが、新しいグッズを手にするワクワクは年を取っても変わらない気がする。

 新たな門出は、子供だけでなく大人にもやってくる。4月に新人がやってくる職場も多いことだろう。もちろん、新人だけでなく転職して新たな職場で再スタートする方もいるはずだ。希望に満ちた春であって欲しいが、不安も付きまとうのがこの時期。ふわふわした4月、楽しく過ごしていきたい。

従業員の転職に伴う情報漏えいに危機意識、担当者が目を付けた「あるツール」

 新たな期を迎えるタイミングは、新システムが動き出すケースが多い。担当者も立ち上げのために忙しく、話を聞く機会が少ないことが常だ。しかし先日、従業員の転職に伴うセキュリティインシデントへの対策を強化した企業に取材した。内部犯行に対する情報漏えい対策に関する話題だ。

 企業における情報漏えいのインシデントは数多く、外部攻撃による被害よりも内部犯行によるインシデントの方が多い。IPAが公開している最新の情報セキュリティ10大脅威においても「内部不正による情報漏えい事件等の被害」が第3位にランクインし、6位の「不注意による情報漏えい等の被害」と合わせて、脅威として指摘されてきた。

 在籍した企業の情報を持ち出して転職先で使ってしまおうと考える人が多いのか、退職者が多い時期に営業秘密が漏えいしてしまうリスクは極めて高いらしい。実際に事件に発展するインシデントも増えている。

 内部不正による情報漏えいを防ぐためのアプローチはさまざまあるが、その1つが、“何も信頼しない”というゼロトラストの考え方を実装するためのコンポーネント群となる「SSE」(Security Service Edge)だ。

 SSEには、「SWG」(Secure Web Gateway)や「ZTNA」(Zero Trust Network Access)、「FWaaS」(Firewall as a Service)、「DLP」(Data Loss Prevention)、「CASB」(Cloud Access Security Broker)などが含まれており、これらを単一のセキュリティサービスとして利用できるソリューションだ。多くのコンポーネントを内包するSSEだが、筆者の感覚では、予算や運用の観点で全ての環境を一気に導入するケースは少ないように思う。

 情報漏えい対策には、営業秘密や顧客の個人情報など、企業が保有する特定のデータのみを監視対象としたDLPが大きな役割を果たす。DLPは、事前に定義したポリシーに従って、データの持ち出しやコピー行為を即座に検知し、ブロックなどの操作制限機能で情報漏えいを未然に防ぐソリューションだ。

 他にも、利用者の不審な行動を検知する振る舞い検知機能を持つ「UEBA」(User and entity behavior analytics)などが有名だが、検知アラートが膨大に押し寄せるなど、運用負荷の問題があった。DLPは利用者ではなく保護すべきデータそのものを監視対象とすることで、アラート数を減らせる仕組みだ。

 ただし、DLPはその保護すべき対象範囲が広くなりすぎると業務に支障を及ぼす恐れもある。まずは操作を制限するのではなく検知することからはじめ、徐々に厳格化するといった段階的な運用が必要になるようだ。これは、DLP導入に失敗した先人からのアドバイスだという。運用時は、営業秘密に絞って運用をスタートさせ、効果検証を経て適用範囲を展開する予定だと聞いた。

 なお営業秘密は、個人情報保護法ではなく不正競争防止法によって保護されるものだ。対象になるためには、秘密として区別して管理されている「秘密管理性」、その情報が競争優位性をもって事業活動に有用であることを示す「有用性」、そして広く社会に知られていない「非公知性」という要件が満たされている必要がある。情報が持ち出されたとしても、それが秘密の情報として個別に管理されていなければ、保護対象にはならないので注意したい。

我が家の情報漏えい、SNS投稿にご注意

 家族イベントが増えると、子供の成長記録を撮影する機会も多くなる。写真や映像のデータがストレージにあふれ、仕事関係のデータの格納に影響するほどだ。

 周囲への近況報告がてらSNSに情報の一部を投稿することも少なくないが、妻から子供の顔をSNSにさらさないよう言われている。以前、ある写真を投稿して怒られたことがあり、それ以来、子供の顔が映らないよう細心の注意を払っている。プライベートなSNS投稿が、我が家では情報漏えいの最たるものとして扱われる。

 余談だが、子供だけでなく妻が映りこんだ写真もケースによっては怒られる。化粧の具合か、写っている顔の角度か、まあ理由はいろいろのようで。結果として、風景と飯テロが中心のSNS投稿が私の定番コンテンツになっている。ま、致し方ない。

読めば会社で話したくなる! ITこぼれ話

 キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる!」をテーマに記事を掲載。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。