共通対策評価コラム
2022年6月13日
【CSIJコラム7(2023,5,22)】
時代とともに変化するセキュリティリスク
「退職者による情報漏えい対策できていますか?」
グローバルセキュリティエキスパート株式会社
セキュリティコンサルタント
坂 本 幸 三
情報セキュリティは企業にとって重要な課題であり、外部からの攻撃だけでなく、内部からのリスクも軽視できません。特に退職者による機密情報の持ち出し(情報漏えい)は、企業の競争力やブランドイメージに深刻な影響を及ぼす可能性があります。例えば、退職日に人事管理システムに持つユーザー情報を Active Directory やその他システムに連携できず、退職日以降もユーザー情報が残り続けることは不正アクセスの原因の一つです。
今回は、独立行政法人情報処理推進機構 (以下、IPAと称する。)が2023年4月6日に公開した「企業の内部不正防止体制に関する実態調査」を受け、企業が取り組むべき対策は何かについてお話します。
1 .退職者による情報漏えいの背景
(1) 高い離職率
労働市場の流動化に伴い、企業の離職率が高まる傾向にあります。中途退職者が増加することで、企業が情報漏えいリスクにさらされる機会も増えることになります。
(2) テレワークやクラウドサービスの普及
場所を問わず、組織の情報にアクセスできることで利便性は向上しています。しかし、情報へのアクセス頻度が増えることで情報漏えいリスクは高くなります。
(3) 不十分な情報管理体制
企業の情報管理体制が不十分である場合、従業員が容易に機密情報を持ち出せる環境となっています。退職者による情報漏えいが増加する原因の一つとなります。
IPAの「企業における営業秘密管理にする実態調査2020」では2016年の調査と比べて、中途退職者による情報漏えいが増加しています。
2.退職者による機密情報持ち出しリスク
(1) 競合企業への情報流出
退職者が競合企業に転職する際、営業秘密情報を持ち出すことで、市場シェアの喪失につながる恐れがあります。
(2) 法的問題
情報漏洩により、顧客情報や知的財産権の侵害が発生した場合、企業は法的な問題に直面する可能性があります。
(3) 信用失墜
情報漏洩が公になった場合、企業のブランドイメージや信用が失墜し、顧客の信頼を失うことがあります。
3.退職者の機密情報持ち出し対策
(1) アクセス権限の管理
業務に必要な情報へのアクセス権限のみを付与し、不要な情報へのアクセスを制限します。権限の制限により、情報が必要な人だけがアクセスできる状態を保ちます。また、定期的な権限の見直しが不正アクセスや情報漏えいから大切なデータを守る役目となります。
(2) 退職者のアカウント管理
退職者のアカウントは、退職日に必ず削除することが重要です。アカウント削除を忘れてしまうと、退職者が不正にアクセスするリスクがあります。また、退職者情報として「いつ入社して、退職したか」を管理することも忘れないようにしましょう。過去のアクセスログから調査する際に必要になる場合があります。
(3) 退職時の手続き
退職者に対して、機密情報の返却やデータの削除を求める手続きを行います。また、退職時に情報漏洩防止に関する誓約書に署名させることで、法的な拘束力を持たせることができ、退職者が競合企業への転職や起業時に、元勤務先の機密情報を利用することを制限する効果があります。
(4) 定期的な情報セキュリティ教育と研修
定期的に情報セキュリティに関する教育や研修を実施し、情報漏洩のリスクを理解させることが重要です。教育内容には、情報セキュリティポリシーの内容や情報漏洩の事例、適切な情報管理方法などを解説します。
(5) アクセスログのモニタリング
アクセスログを定期的にモニタリングし、不正アクセスや権限外の情報アクセスがないか確認します。異常なアクセスが検出された場合は、速やかに対処することが求められます。
退職者による機密情報持ち出しリスクは、企業の情報セキュリティ対策において重要な課題です。アクセス権限の管理、教育研修などの対策を実施し、従業員や退職者に対して情報管理の意識を高めることが求められます。
また、コラムの最初に人事管理システムにある退職者のユーザー情報が Active Directory やその他システムに連携できないことが、不正アクセスの原因の一つだと書きましたが、連携できない理由としては2つの課題が挙げられます。「データ連携が自動化されていない」技術的課題と、「退職した翌日に異動データが提供されない」組織的課題です。データ連携の自動化を導入するには時間とコストが必要ですが、人事部門から退職者データを提供して貰うことは、いつでも可能です。「担当者同士の連携」により、退職日にタイムリーなデータ連携を行うことが重要でしょう。
しかしながら、これらの対策を実施しても少なからず不正な持ち出しによる情報漏えいは発生します。持ち出しリスクを最小限に抑えるためには、最小限のアクセス権限の設定により即時にデータを持ち出すことができない仕組みが必要と考えます。人が不正行為を働くのは「機会」「動機」「正当化」の三要素が揃った時だといわれています。退職者による情報漏えいの背景でも述べましたが、利便性を上げるためにデータへのアクセスを容易にすれば情報漏えいリスクは高くなります。相反して「データの即時持ち出しを制限」することでリスクは下がりますが、利便性も併せて下がることになります。不正な持ち出しの「機会」をどのようにして減らすのか。情報セキュリティ対策と利便性のジレンマをいつか乗り越える時代が来ることを期待します。
※執筆者企業情報
グローバルセキュリティエキスパート株式会社(GSX)
GSXは、情報セキュリティ・サイバーセキュリティに関する知見を幅広く共有し、お客様にお役に立つ各種セミナー・イベント・ウェビナーを定期開催しております。是非お気軽にご参加いただき、情報収集の場としてご活用ください。
また、お客様の組織で「セキュリティに悩みがある、今の体制で問題ないか疑問がある、自衛力を強化したいなど」とお考えの方は、GSXまでご相談ください。