急成長ベンチャーの社長が犯したコンプライアンス違反:萩原栄幸の情報セキュリティ相談室(2/2 ページ)
ログから分かったこと
B君に勧めた作業は、経営者の意向とは逆の行動になる。しかし、犯罪の可能性があり、社会通念上では明らかに疑問を感じることも生じていたので、あくまで空き時間や昼食タイムを活用して実施することにしたのである。
その後しばらくして、B君から連絡があったので再度お会いした。すると、「びっくりです! でも、なぜでしょうか」と矢継ぎ早に話してきた。要約すると、(1)深夜や土曜日にアクセスがあった、(2)そのIDは全て社長自身のものだった、(3)主に技術系データベースと顧客情報にアクセスが集中していた――という事実が分かった。
社長はアクセス権限を持っている。日中にこうした行為をしていても別に問題は無いはずだが、B君は「意味が分からない」という。
実は、日中はOA用の業務システムが動いている。そこでB君が全く意識していないだろうが、基礎的なアクセスログが残ってしまう。そのOA業務の関連ファイルには、顧客情報や技術系データベースも含まれていた。そこで、さらに分析して分かったのは、なんとデータベースのデフォルトでのログがわざわざカットされていたという点だ。終業時間の午後5時過ぎに合わせてバッチ処理が働き、OA用の業務システムがシャットダウンされたタイミングで全てのログを削除していた。B君は終業時間後の処理までは考えが及ばなかったという。
それでは、なぜ経営者はこんなことをしていたのか。その後に判明したことだが、B君がログ採取を行う9カ月ほど前に、ある大手商社がA社に目を付け、経営者へ「会社を売ってほしい」と持ち掛けていたのである。
設立からたった5年で、まだ株式公開もしていなかった。株の名義と保有比率は、社長70%、社長の妻が10%、設立時に資金を提供した妻の実家が20%である。商社から提示された買収価格は、相当に魅力的な金額だったようで、社長は「譲渡しても恥ずかしくないようにするために、あと1年ほど待ってほしい。そうすれば技術を含め社員ともども譲渡してもいい」と商社に話したという。
だが社員がその動きを知る事はなかった。社長は契約を締結後、会社としては最も大切な資産である「技術情報」と「顧客情報」をそっくり自分のものにし、身売り後にそれらを元手に新たな組織を興すことを画策していたらしい。会社組織」にすると商社にみつかるので、せめて数年間は個人として活動し、ほとぼりが冷めてから会社を興す算段だったらしい。
そのためにB君の前任者は様々な作業をさせられた。彼は職人気質の人だったこともあって、経営者からのあまりにも理不尽な要求に耐えられなくなり、辞めたそうである。その後任がB君というわけだった。この事実が判明するまでに、筆者は経営者とも打ち合せを行い、事実を突きつけ、そして説得という地道な作業を行った。
米国では起業した会社を高値で売却する専門家がいるらしい。A社の経営者がその専門家というわけではないが、実際に自分が起業した会社を高値で売ろうとし、しかも、“おいしい情報”は全て自分のものにしようとした。売却が決まってから、その企業上の資産をコピーするという行為を思いついたようだ。いかにも素人が思いつくアイデアである。
筆者は、A社を買収しようとした商社にもきちんと説明した。不正な点を改め、正当な取引としてこの案件を継続させるために、A社の経営者には株の売却だけをしてもらい、社長職は継続してもらった。株の売却などは商社側と交渉して進めた。その結果現在では、A社は円満に事業活動をしている。
読者の会社では経営者が高値で会社を身売りする場合の対応について、その作業手順をきちんと制定しているところは、まずないだろう。そこまで想定することは、目先の作業の大変さも考慮すると、実際には極めて困難であるのはいうまでもない。だが、経営者に対する観察眼を持ち、先読みをしておくことは決して無駄ではない。それどころか、逆に大いに有効な手段である。経営者でも、企業にとっては相反する行動をとることが実際にあるのだから。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。