ファイルサーバから営業秘密が漏えいしてないか?:コンプライアンスに耐える情報システムとは?:(3/3 ページ)
情報システムを見直す
インク・コムでは、デジタル情報に関する秘密情報の管理の一部が不十分なことが分かった。そこで、情報システム部門はシステムの改善を図った。改善前の営業部のファイルサーバの設定を見てみる。
改善前のITインフラ
営業部のファイルサーバ(Sales01)のアクセス権限を見てみると、営業部に所属する社員は部門内のすべての情報にアクセスすることができた(表2)。ファイルサーバの情報を一括して共有できるので便利だったが、本来なら営業秘密となる印刷ノウハウに関する情報も同じ場所に置かれており、別途アクセス権限の追加が求められた。
| 担当顧客名 | 営業社員 | 利用可能なサーバ | アクセス権限 |
|---|---|---|---|
| スーパー激安 | 営業担当A主任 | sales01 | 読み書きOK |
| 酒屋 | 営業担当B主任 | sales01 | 読み書きOK |
| 時計屋 | 営業担当C | sales01 | 読み書きOK |
| 販売店X | 営業担当D | sales01 | 読み書きOK |
| 中古車ショップY | 営業担当E部長 | sales01 | 読み書きOK |
アクセス権を見直していると、さらに競合する企業へ情報が漏えいする可能性があることも判明した。A主任が担当している「スーパー激安」では、酒も販売している。「酒屋」を担当するB主任の情報も閲覧できてしまうのだ。A主任が営業成績を上げることを優先すれば、B主任が顧客から預かった情報を不正に利用するリスクがある。このような不正は、顧客の信頼を裏切る行為となり、企業活動に悪影響を及ぼしかねない。これらを踏まえて、次のような改善を営業サーバに施した。
改善後のITインフラ
競合する顧客の情報にアクセスできない仕組みを導入した(表3)。ファイルサーバを2台に増やし、競合する顧客の情報を不正に利用されないように物理的に分けた。同一サーバ上でアクセス制御を行わなかったのは、セキュリティホールへの攻撃、パスワード攻撃などにより、管理者権限が奪われるリスクを回避するためである。
続いて、フォルダをユーザー別に作成し、本人以外がアクセスできないようにアクセス制御を行った。ただし、営業部長は営業部すべてのフォルダにアクセスでき、営業状況を確認できるようにしている。
| 営業社員 | 利用可能なサーバ | 保管場所 | アクセス権限 |
|---|---|---|---|
| 営業A主任:スーパー激安担当 | 営業用ファイルサーバ:sales01 | フォルダA | A主任、部長 |
| 営業B主任:酒屋担当 | 営業用ファイルサーバ:sales02 | フォルダB | B主任、部長 |
| 営業C:時計屋担当 | 営業用ファイルサーバ:sales02 | フォルダC | D主任、部長 |
| 営業D:家具販売店X担当 | 営業用ファイルサーバ:sales02 | フォルダD | D、部長 |
| 営業E部長:中古車ショップY担当 | 営業用ファイルサーバ:sales01 | フォルダE | 部長 |
以上によって、不正競争防止法の適応を受けるためのインク・コムの見直しは一段落した。あとは、利用者が社内の規定に従って運用されていることを確認していけばいい。
佐藤隆
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。