情報漏えいは「内部要因」と「外部要因」の2つに分けられる
昨今、毎日のように情報漏えい事件がニュースや新聞で取り沙汰されていることもあり、情報漏えいを防ぐことは、企業にとっては緊急であり必須の経営課題となっています。
そんな昨今耳にすることが多い「情報漏えい」ですが、実は情報漏えいの原因は、大きく分けて2つに分けることができます。1つは「内部要因による情報漏えい」もう一つは「外部要因による情報漏えい」です。
情報漏えいは内部要因の方が圧倒的に多い
ニュースでは、外部からの攻撃によって情報が漏えいしたという事件が取り上げられることが多いこともあり、「情報漏えい」=「サイバー攻撃など外部犯による攻撃を受けて発生する被害」というイメージを持っている方も多いかもしれませんが、実際に発生している情報漏えいの要因における割合を見てみると、内部要因での情報漏えいの方が圧倒的に多いことがわかります。
「悪意ある情報漏えい」かそうでないかで被害額は大きく変わる
内部から情報が漏れるというのはどういうことなのでしょうか。内部要因による漏えいには、「うっかりミスによる漏えい」と「悪意ある漏えい」の2種類が存在します。
「うっかりミスによる漏えい」とは、誤操作やデータを保存した媒体の紛失によって、悪意はないにも関わらずうっかり情報を外に漏らしてしまった場合のことを言います。
一方、「悪意ある漏えい」とは、会社に損害を与えるためであったり、金銭を得る目的であったり、悪意を持って情報を持ち出した(漏えいさせた)場合のことを言います。
一般的に、「うっかりミスによる漏えい」と「悪意ある漏えい」では、「悪意ある漏えい」の方が被害は大きくなる傾向にあります。
情報漏えい防止の一手、ログ取得
それら内部からの情報漏えいを抑止するには、どうすれば良いのでしょうか。
その対策の1つとして、よく挙げられるのが「ログ取得」です。
PCログを取得しておけば、「誰が」「いつ」「どのように」PCを操作したかを把握することができます。そのため、情報漏えいが発生してしまった際には、原因究明に大きな力を発揮するでしょう。
また、ログを取得していることを事前に社員に公表していれば、うかつに情報を持ち出したり、怪しげなサイトにアクセスしたりということも無くなります。
社員のログを取得・管理する中でも、特に念入りに確認しておきたいのは退職が決まっている社員のログです。
退職者による情報漏えい事件が目立つ
近年、退職者が退職直前に営業秘密を持ち出し、転職先にそれら情報を売り渡したことを発端とする刑事事件・訴訟が多発しています。
よく見られるのは、個人で所有している端末やクラウドストレージ上に機密情報を保存し、持ち出すというものです。
【例1】サンディスク元技術者がSKハイニックスへ技術情報を流出
サンディスクの元技術者が、東芝とサンディスク(※1)が共同開発していたNAND型フラッシュメモリ(※2) に関する研究データを、東芝四日市工場からコピーして不正に持ち出し、転職先の SKハイニックス(※3)に提供していたことが発覚しました。
元技術者は不正競争防止法違反で逮捕され、東芝はSKハイニックスを提訴しました。
※1)アメリカに本拠地を置くメモリー製品を中心に製造する企業
※2)安価で大容量保存でき、書き込みや消去も高速なフラッシュメモリ
※3)韓国の大手半導体メーカー
【例2】エディオン元課長が上新電機へ営業秘密を流出
家電量販店大手エディオンの元課長が営業秘密を転職先の上新(ジョーシン)電機に漏えいしていたことが発覚しました。元課長は逮捕され、エディオンは上新電機を提訴しました。
元課長は、エディオン在職中に社内PCに遠隔操作ソフトを仕込み、上新電機へ転職後、上新電機の社内PCから遠隔操作をおこない、エディオンの機密データを盗み取っていました。また、その漏えいには、エディオン社員であり元課長の部下だった男も関与していたとのことです。
