社員によるデータ持ち出しは珍しい話ではありません。大手での事件や持ち出された情報が大規模だった場合はニュースになることもありますが、実はそれ以外にも社員による機密情報の持ち出し事件は多く発生しています。例えば最近のケースでは、ソフトバンクから5Gに関する機密情報を持ち出したとして楽天の社員に求刑懲役2年、罰金100万円の判決が出されました。
会社の機密データを守るためには、社員がデータを持ち出さないような環境や監視体制を作ることが大切です。今回は、社員のデータ持ち出しを監視し、防ぐための対策・方法を徹底解説します。
社員によるデータ持ち出しはどれくらい起きている?
マクロミル社の調査によると、企業の経営陣・情報システム担当者が情報漏洩を経験した割合はなんと 17.6%です。その内訳は、「内部によるメール誤送信」 が40.4%、「内部によるデータ持ち出し」が38.5%、「外部からのサイバー攻撃」が21.1%になります。
つまり、企業の経営陣や情報システム担当者の17.6%が情報漏洩を経験しておりそのうち約40%が社員による持ち出しなので、実に全体のうち7%もの企業でデータ持ち出しによる情報漏洩を経験していることになります。そしてこれは不正が「明るみ」なった氷山の一角の割合であり、実際は経営陣らが気付かずに今も行われている不正が相当数あることが推測されます。
持ち出される社内データはなに?
持ち出されたデータの内訳は
・「企画書・提案資料」46.0%
・「会議の議事録」32.4%
・「事業計画・予算管理表」22.5%
・「顧客情報」21.8%
・「開発・製造に関連する資料」20.2%
となっています。
上記の通り持ち出される社内データは企画書や議事録が圧倒的に多いことが分かります。顧客情報に比べると情報漏洩の罪悪感を持ちづらいのかもしれません。実際に社内データを持ち出した社員の29.2%は罪悪感がないと答えているというデータもあります。
社員の監視が必要、だけどどうやって?
社員の全員を初めから疑ってかかる人はあまりいないと思います。やはり自社の社員ですから信用したいですよね。しかし、やはり監視しておくことは大切です。では、どのように監視したら良いのでしょうか?実は、監視しなくてはいけないポイントは沢山あるのです。
具体的には、
・メール履歴
・システムログ
・ファイルアクセス
・ウェブ閲覧
・外部接続(USB、外付けハードディスク)
・モバイル端末の監視
・位置情報の取得
・遠隔での情報消去
などが挙げられます。これらはセキュリティソフトを導入することで大半の監視が可能になりますが、やはりそれだけでは十分とは言えません。万が一何かあったときに証拠を押さえられるようにしておくことが大切ですが「会社はあらゆるログを取っているから情報の持ち出しはばれる」ということと、「情報の持ち出しをすることは社員の先々にとってプラスにならない」ことを周知することも重要です。
また、会社側もなぜ社員が不正に社内データを持ち出すのかを理解する必要があります。
不正が起こりやすい環境を理解する
不正が起こりやすい環境をあらわす言葉として「不正のトライアングル」というものがあります。この不正のトライアングルとは、
・機会
・動機
・正当化
の3つです。これらが揃うと不正が起こるリスクが高まると考えられています。
まず、「機会」とは不正を起こしやすい状態のことです。具体的には経費申請や立替支払請求の内容をきちんと確認していなかったり、商品が無くなっても気付かれない環境などです。また、残業や休日出勤などで職場に1人しかいない環境も不正しやすい「機会」を作り出すことになります。
次に「動機」についてです。「動機」とは本人の不正を起こしやすい心境や事情のことです。例えば金銭面で悩みがあったり、営業成績等にこだわっていたりするなど、様々なことが考えられます。
最後に「正当化」です。「正当化」とは不正自体を正当化してしまう心境や環境のことです。会社のお金を横領しても「後で返せばいいだろう」と考えていたり、不正なことでも「会社のためだからよいだろう」と考えていたりすることがあります。実は「正当化」によって本人に不正の意識がなかったケースもあるのです。
これらの3つを揃わせない環境づくりが不正のリスクを減らすことに繋がります。
アスエイトアドバイザリーで支援できる社内データの持ち出し対策
アスエイトアドバイザリーでは社員によるデータの持ち出しが発生しないように、システム面と人への教育の両方の面からのサポートを行っております。
1,従業員のセキュリティ教育
情報漏洩は一瞬で拡散し、外部に漏れた情報を削除することは限りなく難しいということを社員全員がきちんと理解しておく必要があります。管理者はもちろんのこと、社員全員が情報漏洩の恐ろしさを知り正しい知識をもっておくことは、情報を守る正しい行動に繋がります。アスエイトでは、情報セキュリティの基礎知識や実際の事例などを踏まえた日常業務の中の危険やその対応の仕方についての研修を実施しています。
2,内部通報制度を整える
不正を防ぐことも大切ですが、万が一不正が起きた時になるべく早く発見することも被害の拡大を防ぐためには重要なことです。そのためには、内部通報制度が大切です。国際的調査データでも、内部通報制度が不正の摘発手段として最も効果的だと判明しています。この制度の重要なポイントは第三者機関の窓口を設置することです。顧問弁護士とは別でコンプライアンスに詳しい機関のほうが、通報者の不安や心理的抵抗を減らすことができるためです。アスエイトでは国家資格である公認不正検査士のもと、守秘義務を守りながらの相談受付け、報告や調査、システム管理などを総合的にサポートしております。
3,システムログの収集・分析
サイバー攻撃や内部不正等では、事前に犯行の兆しがあることも多くあります。そのため通常ではないオペレーションの異常検知や侵入記録、イベントのログを収集、分析することで早急に対策を行うことができるのです。しかしそれらの収集や分析には手間と専門知識が必要です。組織内で専任のエンジニアを配置することが難しいこともあるかと思います。
そこでアスエイトではお客様企業に代わってシステムログの収集や分析を行い、異常の早期発見のお手伝いを行っています。万が一異常があった際のご連絡はもちろん、その後の対応方法のアドバイスなども行っています。
4,万が一、それでも不正が発生したら
前述のように、セキュリティ対策を行うことで限りなく不正が起きにくい環境を作ることは大切ですが、予算の問題であったり、未知のセキュリティホールであったり、完全に不正や被害を抑え込む方法は存在せず、万が一のことを考えて対策をすることも重要です。
万が一発生した際の緊急相談先として弊社との連絡体制を整えて頂くことをまずは推奨いたしますが、デジタルフォレンジック調査が必要となった際や何らかの被害が発生した際は、やはり決して安くはない費用が発生してしまいます。
このような時に備えて弊社では、インシデントにより発生したデジタルフォレンジック費用を補填するサイバー保険のご用意もございます。
社内データの監視体制に不安がある組織、会社様、是非お気軽にご相談ください。まずはお話を聞かせていただいた上で、監視体制を診断させて頂きます。