ニュース
» 2013年06月21日 08時00分 UPDATE

萩原栄幸の情報セキュリティ相談室:内部統制の厳しい会社が情報漏えい 技術のプロで見つからない原因 (1/3)

ある中堅商社で情報漏えいが起きた。セキュリティ技術のエキスパートが原因解明に挑んでみたものの、なぜか分からないという。実は意外なところに、その事実が隠れていた。

[萩原栄幸,ITmedia]

 A社は東京・品川に本社を構える中堅商社だ。事業内容は大手ほど手広くないが、さまざまな業種・業態の仲介、輸出入代理、石油精製プラントにも関与している。最近では再生可能エネルギー分野にも進出して世界中へ売り込むと同時に、日本に無いユニークな製品や技術を国内に紹介もしているという。

 今回の事案は、同社で発生した情報漏えいだ。幸いにも“傷”は浅かったが、役員会直轄の社内調査委員会を密かに立ち上げで活動したものの、どうしても原因が分からないという。そこで筆者に声が掛かった。

(編集部より:本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。)

事例

 中堅商社であるがゆえ、諸外国と広い取引があり、業種業態もさまざまである。また、知的財産権分野も力を入れており、現在では特に再生可能エネルギーでの海外特許を日本に紹介したり、逆に日本の特許を海外に申請し、海外企業に紹介していた。

事案:特許に関しての情報漏えいが発生したために調査を行った。

 特許自体は機密情報でも何でもない。ただし、相手国の特許を日本の企業に売り込む場合、実際には技術者が仲介に立つ。特許に携わる専門技術者であれば、特許の周辺技術や未公開技術、特許申請の直前段階に技術などについて熟知している。そうした人がバックにいないと、日本企業の技術者に対して売り込みすらできないケースもある。仲介役としてのA社の技術者は、プレゼンテーションができる程度の知識は持ち合わせているものの、詳細な部分は海外企業の技術者に問合せを頻繁にしており、それらの情報(基本的には非公開)が今回漏えいされていた。

回答

 本件では既に社内で組成された調査委員会によって、LANやインターネットのログ、導入していた某社の「情報漏洩防止用ソフト」の解析を中心に行い、疑わしいものについては、フォレンジック調査も実施済みであった。そこまで対応が進んでいる中に筆者が出向いたところで、何か分かるはずもない。調査委員会のメンバーもそう思っていたらしい。

 一応、筆者は調査結果を確認したが、厚さが5センチ以上もある報告書を読むだけでも苦痛であったほどに、詳しい調査と分析が行われていた。しかし、まずはそこを手掛かりにするのが効率的であると感じた。調査内容は理路整然としており、調査自体の範囲や深さ、調査項目、見落としやすい点をカバーしているかといったところまで、筆者が見ても全て満足のいくレベルだった。

 その後、調査委員会のメンバーとヒアリングを何回か行った。例えば、「ターゲットとなっているデバイスや電子機器に見落としはないか」「会社が管理していないものはないか」「自宅からの持ち込み、スマホやタブレットの抜け穴、紙媒体の管理、メール送信などに問題はないか」「PCにボット(不正プログラム)が仕掛けられていないか」――などを確認した。しかし、そうした抜け穴は無く、ほぼ完璧であった。ログの改ざんも疑われたので、ヒアリング時点では調査中だったが、委員会のメンバーや筆者がみた限りでは改ざんの痕跡も認められなかった。

       1|2|3 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ