「退職者による情報漏えい対策は出来ていますか？」

最終更新日:2023年11月2日

こんにちはNです。だんだんと寒くなってきている今日この頃ですが、いかがお過ごしでしょうか。先日衣替えをしようとしたのですが、冬服が全くなく捨てた記憶もないので一体どこにいったのでしょうか…本格的に寒くなり前に服を買いに行こうと思います。
　
第21回MylogStarCloudコラムは「退職者による情報漏えい対策は出来ていますか？」です。内部不正による情報漏えいの大きな要因の一つとして退職者による情報漏えいがあります。2022年度は、情報漏えい件数が165件と過去最多を記録しました。実際に前職から会社の顧客情報や製品内部情報を勝手に持ち出した事件などが起こっています。自社の重要な情報資源を守るためにも対策は必須です。今回は、実際に起こった退職者による事件を紹介するとともに具体的な対策方法についてご紹介します。

内部不正に情報漏えいの現状

内部不正による情報漏えいは、年々増加しています。IPAが毎年発表しているセキュリティの10第脅威ランキングでも2021年は総合6位、2022年は総合5位、そして2023年は総合4位と年々順位を上げてきています。内部不正による情報漏えいの中には、当然転職者による不正行為を含まれています。内部不正が増加するのと比例して転職者による不正も増加しています。

IPA（独立行政法人情報処理推進機構）：情報セキュリティ10大脅威

マルウェアなどによる外部からの攻撃に対しては、アンチウイルスソフトやEDRなどで対策をとっている企業が多い印象を受けると同時に内部からの攻撃に対しては手薄になっている企業が同じく多い印象を受けます。「まだ対策をしなくていいかな…」・「うちの社員に限って不正はしないでしょ」と考えている方もいるかともいますが、個人情報漏えいの場合にかかるコストは、一人当たり約22,500円だと言われています。1万件個人情報が漏えいした場合、約2億2,500万円のコストがかかる計算になりので、情報漏えいによる企業の社会的信頼の失墜だけでなく、実際に多額のコストという物理的なダメージを企業は、受ける恐れがあります。今すぐに対策が必要です！

転職者による情報漏えい事故の事例を紹介

通信サービス事業者の事例１
2023年10月頃、通信サービス事業に派遣された元派遣社員が数年間に及び顧客の個人情報を不正に持ち出していたことが発覚しました。システム管理者アカウントを悪用し、顧客情報が格納されているサーバに不正にアクセス、自身の端末に顧客情報をコピーし、USBメモリで持ち出したとされています。不正行為に対して検知する仕組みの未導入やログなどで定期な管理を十分にしていなかったことで情報漏えいの発見が遅れてしまいました。

通信サービス事業者の事例２
通信サービス事業者の元社員が転職先に営業機密の情報を不正に持ち出したとして不正競争防止法違反の罪で執行猶予4年、罰金100万円の有罪判決が下されました。
私用の端末から共有のサーバへアクセスをし、機密情報を含んだファイルを自身のメールアドレスへ送信したとされています。持ち出されたファイルは、アクセス権限が十分に設定されていましたが、情報漏えい事件が起こってしまいました。

飲食チェーン事業者の事例
2023年12月頃、飲食チェーン事業者にいた元経営者が仕入れ情報などを不正に持ち出したとして不正競争防止法違反の罪で逮捕されました。経営層だったため社員のようなセキュリティ対策はしておらず、そこ点が穴になってしまいました。自社を守るためには、たとえ経営層であってもセキュリティ対策を怠ってはいけません。

サービス事業者の事例
業務委託社員が不正に入手した顧客の個人情報を業者に売却した事件が起こりました。個人情報約2,895万件という膨大な個人情報が漏えいしました。スマートフォンに対するアクセス制御ができておらず、USBケーブル経由で私物のスマートフォンにてファイルを持ち出しました。企業は、約144億7,500万円の賠償金を顧客に対して支払いました。

具体的な対策方法とは？

内部不正による情報漏えいが増加する中で転職者による情報漏えいも年々増加しています。情報漏えいに気づかず既に手遅れなんてことも最悪のケースとして考えられます。では、具体的にどのような対策が必要でしょうか？対策について見ていきましょう。

1. 不正のトライアングルがない環境づくり

「動機」

動機は、プレッシャーとも言われます。
不正行為をするやむを得ない理由がある場合などを指します。
例）お金がなくて困っている

「機会」

不正を行いやすい環境などを指します。
例）テレワークで周りの監視がない

「正当化」

不正行為を自身で納得するための理由こと指します。
例）頑張っているのに正当に評価されないのは会社が悪い

2. 自社のセキュリティポリシーの見直し

　退職者に対する自社のセキュリティポリシーをもう一度見直す必要があります。
　例) アカウントの凍結規定/ファイルのアクセス権限の見直し（退職予定〇日前には重要なファイルへのアクセス権を外すなど）
　 IPAのセキュリティ対策ガイドラインを元に自社のセキュリティポリシーを策定することで漏れのないポリシーが策定できるでしょう。

IPA セキュリティ対策ガイドライン

3. 機密ファイルのアクセス権限の策定/見直し

ファイルのアクセス権限を策定/見直しをすることで誰でもファイルへアクセスをすることが出来なくなり、情報漏えいリスクを低減できます。以下の対策が考えられます。

・Windowsのグループポリシー設定を設定する/見直す

・ファイルのアクセス管理をする製品の導入

4. 操作ログ管理製品による社員の証跡管理

操作ログ管理製品のメリットは、操作記録をログとして残せることです。退職者のファイル持ち出し操作を監視し、リスクの疑いがある行為があればアラートを出す。操作ログ管理をしていることを退職者に周知し、行為自体を抑制するなど情報漏えいリスク低減に活用することができます。
　

5. メールやWebのフィルタリング機能の活用

情報漏えい事件の手口として実際に以下のような事例があります。

・私用のメールアドレスへファイルを送信

・クラウドストレージへファイルのアップロード

・SNSに会社の機密情報を投稿

上記情報漏えいのリスクを減らすためにフィルタリング機能が有効です。適切なフィルタリング機能を利用することで情報漏えいのリスクを減らすことができます。フィルタリング機能を持つ製品の導入が有効です。

6. 外部デバイス機器のアクセス制御

外部デバイスと考えるとUSBデバイスやスマートフォン、CD/DVDドライブなど様々ありますが、すべての外部デバイスから情報漏えいのリスクがあります。
手軽に対策をしたい場合は、Windowsのグループポリシー設定を活用することでUSBデバイスなどのアクセス制御は可能です。更に細かくアクセス制御したい場合は、外部デバイスのアクセス制御製品を導入することが有効です。

7. 社員に対するセキュリティ教育の徹底

製品を導入することで情報漏えいリスクを低減することができますが、リスク0にすることはできません。転職者による情報漏えいは、“モノ”ではなく“ヒト”が起こす行為です。そのため“ヒト”に対するセキュリティ教育が必要です。基本的なセキュリティ・インシデントに対する教育や内部不正を起こした社員は、どうなるかなどを教育することで“ヒト”が起こしえる情報漏えいのリスクを減らしましょう。

MylogStar Cloudでできる対策方法

m転職者による情報漏えいを対策できるMylogStar Cloudをご紹介します。
　　操作ログ管理製品のMylogStar Cloudでできる情報漏えい対策は、以下になります。

ファイル持ち出し操作の監視
USBデバイス、CD/DVDドライブ、SDカードのアクセス制御機能
操作ログ管理による不正操作の抑止
管理者へアラート通知で危険操作の把握
情報漏えいインシデント発生後の原因、情報漏えいファイルの調査

　今回は一例として皆様にファイル持ち出し操作のログをお見せいたします。
　その他対策は、以前のコラムで掲載していますので、ぜひご覧ください。

「機密ファイルの漏えいを防ごう」

第４回MylogStarCloudコラムのタイトルは、「機密ファイルの漏洩を防ごう」です。自社の機密ファイルが外に漏れた場合、会社に大きな損失を与えかねません。情報漏洩が起こった際、事故なのか事件なのか原因究明をしなければいけないですし、そもそも事前に漏洩を防がなければいけません。MylogStar
Cloudのファイルログは、ユーザーのファイル操作のログを取得することが出来ます。

「デバイス制御機能で情報漏えいを防ごう」

第5回MylogStarCloudコラムのタイトルは、「デバイス制御機能で情報漏えいを防ごう」です。社外秘ファイルの漏洩があった際、ログがあればいつ・誰が・どのファイルを漏洩させたのか分かります。MylogStarCloudのデバイス制御を利用することで、外部デバイスの使用を制限する事が可能です。よって不正行為自体の抑止が出来ます。