後を絶たない内部からの情報漏えい、そのメカニズムと対策:すご腕アナリスト市場予測(2/3 ページ)
故意か否かにかかわらず頻繁に発生している内部からの情報漏えい。メカニズムを学びながら、企業での具体的な対策を解説する。
近年報道されている内部不正の事例を基に、4つのケースでの対策例を示す。
退職に伴う情報流出への対策
前述の経済産業省委託調査によると、ビジネス上有用なノウハウや技術などの営業秘密の漏えいのうち、中途退職者からの漏えいが最も多く、50.3%を占めている。転職や契約期間の終了などにより、従業員が退職するタイミングに特に注意が必要といえる。
従業員によって持ち出される情報は、顧客情報や技術情報などさまざまだが、このような情報を安全に管理するために、前提となるのが重要情報の特定だ。情報は、重要情報と一般情報の少なくとも2つに分け、重要情報が含まれる電子文書には「機密文書」などを記載し社員に分かるようにして管理しなくてはならない。
重要度に応じた文書保護の対策として、文書管理ツールやDLP(Data Loss Prevention)ツールを活用する際も、まずは重要情報の特定が前提となる。また、このように重要情報を特定して安全に管理していなければ、不正競争防止法の保護対象にならない(不正競争防止法の保護対象となるための要件は、経済産業省の「営業秘密管理指針」を参照)。
(1)退職前の監視強化
退職時期が近づくと情報を持ち出そうとする傾向が見られる。長期間にわたり情報を取得していたケースもあるが、不正行為は退職直前まで続くことも多い。従って、退職の数週間前程度からPCなどをシステム管理部門の管理下に置くことが望ましい。また、何らかの形で監視されていると意識させることが抑止につながる。
対策
- 退職する従業員の電子メールのやりとりや、USBメモリ、プリントアウトなどを使った情報の持ち出しなどの操作ログをとり、監視する。ログ管理製品を利用すれば、特定の社員を監視することができる
- 重要な情報へのアクセス制御やUSBメモリの利用を制限する。もしくは、情報を扱わせないようにする
(2)退職時の手続き
従業員が退職後に重要情報を持ち出すことを防ぎ、知りえた重要情報が競合他社に渡らないようにするための措置をとる。
対策
- 企業内の重要情報にアクセスできなくするために、入館証を回収し、貸し出し機器を返却させる
- 速やかに情報システムのアカウントを削除する。アカウントの削除漏れを防ぐため、人事異動の手続きと連動した運用が望ましい
- 退職後に重要情報を競合他社に渡すことのないように秘密保持契約を結んでおくことが望ましい。さらに、非常に重要な情報を扱っていた場合、競合相手への転職をしないように、競業避止義務契約を締結することが必要になることも考えられるが、職業選択の自由を侵害しないように適切な範囲を設定する必要がある
なお、2013年8月に公表された「営業秘密管理指針」では、より実効性のある競業避止義務契約に向け、関連部分が改訂されている。
システム管理者による不正行為への対策
システム管理者は多くの権限を持つため、不正行為を働こうとすると重大な事故を引き起こしかねない。システム管理者の権限を適切に管理し、かつ監視することがポイントとなる。
(1)適切な権限管理
対策
- 特定のシステム管理者に権限が集中しないように権限を分散する。システム管理者が1人の場合は、操作履歴をシステム管理者以外の者が確認するといった方法でリスクを低減させる
- 複数のシステム管理者が相互に監視し、不正を行うことが困難な環境を作る
- 共有アカウントを廃止し、システム管理者ごとにIDを割り当て、内部不正行為の特定を可能とする
- 特権を用いた操作を限定する。作業の申請、承認プロセスの厳密化や、一時的な特権IDの払い出しなどにより、特権を必要とする作業以外ではできるだけ操作できないようにする
(2)システム管理者の監視
対策
- システム管理者のアクセス履歴や操作履歴を記録し、システム管理者以外の者が定期的に監査する
- 抑止の観点から、業務担当者にログが記録されていることを通知する
Copyright © ITmedia, Inc. All Rights Reserved.