近年、退職者によるデータの持ち出しを疑う企業からの相談が増えています。この現象の背景には様々な情報管理サービスのクラウド化から情報の持ち出しが簡単になったことがあります。ただ、問題はクラウドそのものよりも個人のクラウドを社内で堂々と使える社内環境に問題があると言えます。
いくらもともと犯罪をするつもりがなくても金目のものが目に見える場所にあって、鍵がかかっていなかったら・・・そしてその家の住人に何か不満や恨みを持ってしまったら・・・世の社内データ持ち出しはこのような状況下で起こっていることが多いのです。この記事では、社内データ持ち出しがどのように発生しているのかその対策や原因の特定までまとめます。

社内データ持ち出しは年間443件も起こっています

日本ネットワークセキュリティ協会(JNSA)は“2018年 情報セキュリティインシデントに関する調査報告書”において、個人の情報漏洩について以下のように報告しています。
・インシデント件数:443件
・一件あたりの漏えい人数:1万3,334人
・一人あたり平均想定損害賠償額:2万9,768円
・一件あたり平均想定損害賠償額:6億3,767万円引用:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」

個人情報が漏洩した際、企業は被害者に損害賠償責任を取る可能性があり、その被害額は企業によっては倒産を避けられないほどの規模にまで及びます。こうした恐れを起こしかねない社内データ持ち出しは、年間で443件も発生しているのです。

退職者による社内データ持ち出しが容易になる環境とは

会社が情報の資産価値を認識できていない

顧客情報をはじめとした社内情報は大事な資産です。ですが、社内情報は在庫と違いそれ自体が売り上げに変わることはありません。そのため、情報のセキュリティ意識が日常業務をするうえで弱まってしまう傾向にあるのです。逆に情報管理を強固にした結果、日常の営業業務に支障をきたすなどの弊害もあります。

個人の情報取り扱いのルールがない

退職者が情報を持ち出す企業の多くは”持ち出せる環境”が作られています。
例えば、個人の携帯が車内で利用できたり、個人のSDカードが社用パソコンに利用できたり、個人クラウドが社内で利用できるなどの環境が整備されていると情報持ち出しをされる確率が高くなります。また、個人のクラウドで持ち出された情報の特定は非常に困難です。
もちろんルールを作っても悪意を持った行動をとれば情報の持ち出しは不可能ではありません。ですが、ルールがあることにより万が一の出来心を起こしにくくすることができることも事実です。

どのような社内データが持ち出されている?

顧客名簿
得意先リスト
協業リスト
プログラミングデータ
社内データベース
技術情報・研究データ
などのデータ持ち出しが考えられます。このほかにも、それぞれの職種において重要な情報が持ち出される恐れが考えられます。例えば、研修業で情報の持ち出しをしようとした際に講師のリストが狙われるなどのケースがあります。

社内データは誰によって持ち出される?

持ち出しは主犯格(計画した人物)と実行犯(社内データ持ち出しにかかわった人物)を含めて複数人いることが多く、単独犯の方が少ない傾向にあります。
例えばほしい情報があっても手に入れることのできない営業マンがシステムエンジニアの手を借りて顧客名簿などの社内データを受け取るというケースがあります。
そのほかにも、独立するためにプログラミングデータを欲しがっている人間がシステムエンジニアの助けでサイト構築に関係するデータを取り出し、流出が発生したという例があります。
このように、社内データに近い立場のシステムエンジニアが共犯となって情報の持ち出しをするという例が多くあります。

退職者は何の目的があって社内データを持ち出す?

退職者の社内データ持ち出しの目的は転職先か起業時に使うことを目的にしていることが殆どです。
過去に弊社が相談を受けた業界は、
会計事務所、マスコミ、システム開発、製造業、建設業、医療、薬品関係、人材派遣
と多岐にあります。会社規模もまちまちですのでどの会社にも退職者による情報持ち出しのリスクはあると考えるべきです。

退職者による社内データ持ち出しが発覚するタイミングは?

退職者による社内データ持ち出しが発覚するタイミングは、大きく分けて以下の3つにあります。
お客様からの申告
売り上げが目に見えて落ちている
セキュリティツールのログで調べたら見つかった
この中で最も多いのはお客様からの申告です。退職した人間からの不審なアプローチや何の気なしに話した内容から、調査依頼につながったというケースが多いです。

どのようにして退職者は社内データを持ち出しているのか

退職者の社内データの持ち出し方法は以下の3つが挙げられます。

1、個人のクラウドアカウントで持ち出し

個人クラウドアカウントの持ち出しは特定が非常に困難です。
なぜなら、持ち出しをされた時期が分からないと個人管理のアカウントだと特定に必要な情報であるログを見ることができないからです。

2、USBなどで持ち出し

USBを通じて社内パソコンから情報を抜き出していた場合は、差されたUSBを洗い出しすることができます。持ち出しをしたと疑われている人物のUSBが分かっていれば一致しているかを調べることができますが、一致した=持ち出し確定となるわけではありません。ただし、社内PCから持ち出す情報を一度USBに落としていた場合、消去していても復元できる可能性があるため証拠として利用できる可能性があります。

3、メールで持ち出し

個人のクラウドメールを利用した持ち出しの場合、特定することは難しいですが、社用メールを利用していた場合、履歴を消していても特定することは可能です。

退職者による社内データの持ち出しが疑われる場合の調査方法

PCを調査する際はCドライブ、Dドライブだけでなくキャッシュやメモリまで様々な観点から精密に調査を行っていきます。また、USBの利用が考えられる場合は持ち出しに使われたと考えられるUSBのメーカーまで特定します。
また、調査物は貸与物か会社のものであることが前提になります。
個人のものの場合は個人の同意が必要ですが、民事だと任意になるため提出する強制力がなくなってしまいます。

退職者による社内データ抜き取りの防止策

1、私用の物を使わせない

私用のものを使えないようにするだけでなく、従業員の一日の動きを確認にしておくことも重要です。この2点を行えない場合は、特別なルールを決めておく必要があります。

2、インシデント実験

インシデント実験で調べることは以下の4つです。
・有効な対策を取れているか
・現在の体制でどれだけの情報が持ち出せるか
・個人のアカウントは利用できるのか
・一日の記録が特定できるか

弊社で社内データ持ち出しの対策を行います!

弊社では社内セキュリティに不安のある企業様に、サイバーセキュリティ対策、人による情報の持ち出しリスクを診断する『SRiM』というサービスを提供しております。
社内端末・ネットワークのセキュリティ対策から、組織体制、内部不正対策まで8つの項目で定量評価をいたします。
また、抱えているリスクの対策までご提案させていただきます。

SRiM評価シートサンプル

リスク評価を行なった上で以下のセキュリティ対策支援も行わせていただきます。

1、サイバーセキュリティソフト導入
2、社内ルール制定
3、社員への教育
4、相談窓口設置
を実施し安心できる環境を作ります。お聞きになりたいことがございましたら、ぜひ、以下のサイトからご連絡ください。

https://asueito.com/2021/10/20/internal-fraud/