第3回関係者の不正行為や過失による情報漏えいとその対策

前回は製造業の知的財産を狙うサイバー攻撃について、時代と共に巧妙化する手法と根本対策についてご説明しました。今回は情報漏えいの二つ目の原因として挙げられる「関係者による情報漏えいとその対策」を取り上げます。

関係者による情報漏えいについて

2021年1月、大手通信事業者の元社員が競合企業へ営業秘密を持ち出した事件が報道されました。営業秘密など競争力の源泉となる知的財産が転職先への「手土産」とされることや金銭を目的として競合企業へ売買されるなど、関係者による情報漏えいは後を絶ちません。

プロジェクトや組織の内部事情を知る関係者によって意図的に持ち出された知的財産は、確実に競合他社へ渡ります。こういった不正行為は、企業へ甚大な影響を与えるだけでなく、防止も非常に困難な情報漏えいの脅威となります。

悪意がない場合でも、関係者の過失によって企業の知的財産が漏えいするケースもあります。知的財産がコピーされたノートPCやUSBメモリーの紛失や盗難などが代表的な要因ですが、昨今ではSaaSやクラウドストレージ上の設定ミスによって個人情報などが外部から参照可能となる事故も多発しています。

効率化を続けるビジネスの隙

2000年代前半まで、工場などの拠点を海外へ構築して進出するオフショアリングは一部の大企業が主に行っていました。

しかし、この10～20年間、インターネットなどのIT技術の進化やグローバリズムに伴って、多くの製造業がオフショアリングを行うようになりました。そしてサプライチェーンの中で複数の企業が設計や製造などの得意な工程を担当することもあり、時代と共にビジネスがより効率化されました。

この効率化の流れによって、現代のビジネスは企業や国境などの境界を越えた関係のうえで成り立っているケースが増えています。このような関係性の範囲が大きくなり、さまざまな国や企業に多くの関係者が存在するようになると不正行為によって機密情報が持ち出されるリスクや紛失や操作ミスなどの過失が発生する可能性も高くなります。

情報漏えいを防止する二つの原則

関係者による情報漏えいを防止するうえで、情報セキュリティ分野において「need to knowの原則」と「最小権限（lest privilege）の原則」という二つの考え方があります。どちらも不正行為や過失などの関係者による情報漏えいを対策するうえで基本的な考え方です。

need to knowの原則	業務に必要な情報にのみアクセスを許可する考え
最小権限の原則	必要最小限の権限を付与するというもの

need to knowの原則と最小権限の原則

原則に則った対策、DRM / IRMとは？

この二つの原則を実現し、関係者による情報漏えいを防止するには、DRM / IRM（Digital Rights Management / Information Rights Management）ソリューションの活用が最も効果的です。

DRM / IRMとは、情報そのものを暗号化したうえで漏えいにつながる操作を制御する仕組みです。デジタルコンテンツの著作権保護のための考え方や技術を組織の情報漏えい対策に応用したソリューションです。

知的財産を事前にDRM / IRMによって暗号化して保護することで、情報を不正に持ち出されたとしても暗号化は解除されずに情報を守れます。また、情報が利用される際は認証を要求し、正規の利用者であることを確認します。認証後も業務に必要な操作のみを許可することで不正行為を防止します。

例えば、印刷やコピーペーストなどの制御を行うことで、印刷物やデジタルファイルでの持ち出しも防げます。

対策が困難な不正行為や過失にも有効

同業他社へ転職時の手土産転職や競合他社への知的財産の買収など、関係者による不正行為は事業の根本を揺るがしかねない事態につながります。そして、内部の勝手を知る関係者による犯行のため、企業にとっては対策が非常に難しい脅威です。

DRM / IRMソリューションを活用して二つの原則に則ったしっかりとした対策を講じ、競合他社への知的財産の漏えいを防止することが、他社との差別化を維持し事業を発展させるうえで、非常に重要と考えます。

次回は数あるセキュリティソリューションの中から、DRM / IRMが最適である理由についてご説明します。

製造業界の知的財産を守り抜くには

全ての記事を見る

ファイル暗号化・セキュリティソリューションを開発する株式会社DataClasysでは、コラムを執筆されています。合わせてご覧ください。

コラム | ファイル暗号化DataClasys [データクレシス]