内部不正が引き起こす
情報漏えいの脅威
2023年から2024年にかけて、国内において大型の情報漏えい事故が発生している。社会インフラを担う企業や、経済安全保障推進法で指定された特定社会基盤事業者およびそのサプライチェーン企業からの情報漏えいも多い。漏えいの原因としては、内部不正、マルウェア(ランサムウェア含む)、不正アクセス、誤送信、誤設定、紛失・盗難などさまざまあるが、今回は、内部不正に焦点を当てながら、情報漏えいの影響やリスク軽減のための具体策を紹介する。
情報漏えいのインパクト
価値の高い情報は、ダークウェブと呼ばれる通常の方法ではアクセスできないようなサイトで高額で取引される。そのため、そのような情報が漏えいした場合、インパクトは大きなものとなり、 組織的犯罪やマーケットシェアの変化、世界経済勢力図の塗り替えにまで発展する可能性があるのだ(図1)。ランサムウェアによる事業停止に関する被害が目立っているが、情報漏えいはより深刻な影響を及ぼす恐れがある。このような背景から成立した、情報漏えいリスク対策としても有効な制度が、内閣官房が推進する「セキュリティ・クリアランス制度」だ。セキュリティ・クリアランスとは、国家における情報保全措置の一環であり、政府が保有する安全保障上重要な情報として指定された情報にアクセスする必要がある者に対して政府による調査を実施し、当該者の信頼性を確認した上でアクセスを認める制度である。
従来の対策の限界と新たな対策
私自身、情報漏えい防止ソフトウェアの開発に10年ほど携わってきたが、個人情報保護法が成立した2003年ごろから、暗号化、デバイスでの持ち出し制御、透かし印刷、ネットワーク制御、メール誤送信対策、IRM(Information Rights Management)、監査ログ取得など、情報漏えい対策に有効なさまざまな技術が広がったと感じている。しかし、昨今の企業におけるリモートワークの導入や、クラウドサービスへのデータ格納、容量制限のないクラウドストレージ活用によるデータの増加、企業間データ交換方法の多様化などにより、従来のPCを中心とした情報漏えい対策ではリスクを抑え込むことが難しくなった。大手企業では、サイバー攻撃よりも内部不正の方が課題だとの声もある。このような状況においては、抑止や事後監査ではなく、従業員の行動監視と不正の予兆検知、証拠保全が重要になってくる(図2)。では具体的に、どのような対策が有効なのだろうか。
内部不正の予兆を検知するには
内部不正の予兆や実際の不正有無を監視するために有効となる対策例を示す。あくまでも一般的なパターンであって、業務によって異なることはご理解いただきたい。
<対策の具体例>
①PC操作ログを取得し、UEBAの仕組みを用いて、通常とは異なる怪しい動きを検知する。UEBAとは、User and Entity Behavior Analyticsの略で、従業員やPC上のさまざまな振る舞いを分析し、通常とは異なる動きを検知する技術だ。例えば、連日の大量ファイルコピー、普段アクセスしないフォルダーへのアクセス、通常の業務時間とは異なる時間帯での操作などを検知する。
②UEBAで疑わしい行動を検知した後は、ログの取得レベルを上げ、該当のユーザーの挙動について一定期間集中的に監視する。
③監視により内部不正が特定できた場合は、取得したログを証拠として提示するといった流れで対策を行う。
認識すべき国産技術情報の重要性
日本にはおいしいフルーツがある。これは肥料、水、湿度管理など、試行錯誤し長年かけて作り上げられてきたものだ。また、鉄道や航空機部品、工作機械・産業用ロボット、精密機械部品などの優れた開発技術も然りである。これまで、家電、自動車、そのほか多くの分野で、我々が培ってきた技術情報が漏えいしていると思われる。その影響は、現在の日本の国力に影響を与えているであろう。
2024年5月、経済安全保障推進法が施行された。今後、セキュリティ・クリアランス制度も運用が始まる。日本の国力を上げるためには、これ以上、技術・ノウハウを国外に流出させないようにすることが必須である。ぜひ、自分たちが考えた技術、蓄積したノウハウが重要な資産であることを認識し、徹底した情報漏えい対策が進むことを願いたい。
<参考>
内閣官房「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」
https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/pdf/torimatome.pdf