内部統制の厳しい会社が情報漏えい 技術のプロで見つからない原因：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

ある中堅商社で情報漏えいが起きた。セキュリティ技術のエキスパートが原因解明に挑んでみたものの、なぜか分からないという。実は意外なところに、その事実が隠れていた。

[萩原栄幸，ITmedia]

　A社は東京・品川に本社を構える中堅商社だ。事業内容は大手ほど手広くないが、さまざまな業種・業態の仲介、輸出入代理、石油精製プラントにも関与している。最近では再生可能エネルギー分野にも進出して世界中へ売り込むと同時に、日本に無いユニークな製品や技術を国内に紹介もしているという。

　今回の事案は、同社で発生した情報漏えいだ。幸いにも“傷”は浅かったが、役員会直轄の社内調査委員会を密かに立ち上げで活動したものの、どうしても原因が分からないという。そこで筆者に声が掛かった。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　中堅商社であるがゆえ、諸外国と広い取引があり、業種業態もさまざまである。また、知的財産権分野も力を入れており、現在では特に再生可能エネルギーでの海外特許を日本に紹介したり、逆に日本の特許を海外に申請し、海外企業に紹介していた。

事案：特許に関しての情報漏えいが発生したために調査を行った。

　特許自体は機密情報でも何でもない。ただし、相手国の特許を日本の企業に売り込む場合、実際には技術者が仲介に立つ。特許に携わる専門技術者であれば、特許の周辺技術や未公開技術、特許申請の直前段階に技術などについて熟知している。そうした人がバックにいないと、日本企業の技術者に対して売り込みすらできないケースもある。仲介役としてのA社の技術者は、プレゼンテーションができる程度の知識は持ち合わせているものの、詳細な部分は海外企業の技術者に問合せを頻繁にしており、それらの情報（基本的には非公開）が今回漏えいされていた。

回答

　本件では既に社内で組成された調査委員会によって、LANやインターネットのログ、導入していた某社の「情報漏洩防止用ソフト」の解析を中心に行い、疑わしいものについては、フォレンジック調査も実施済みであった。そこまで対応が進んでいる中に筆者が出向いたところで、何か分かるはずもない。調査委員会のメンバーもそう思っていたらしい。

　一応、筆者は調査結果を確認したが、厚さが5センチ以上もある報告書を読むだけでも苦痛であったほどに、詳しい調査と分析が行われていた。しかし、まずはそこを手掛かりにするのが効率的であると感じた。調査内容は理路整然としており、調査自体の範囲や深さ、調査項目、見落としやすい点をカバーしているかといったところまで、筆者が見ても全て満足のいくレベルだった。

　その後、調査委員会のメンバーとヒアリングを何回か行った。例えば、「ターゲットとなっているデバイスや電子機器に見落としはないか」「会社が管理していないものはないか」「自宅からの持ち込み、スマホやタブレットの抜け穴、紙媒体の管理、メール送信などに問題はないか」「PCにボット（不正プログラム）が仕掛けられていないか」――などを確認した。しかし、そうした抜け穴は無く、ほぼ完璧であった。ログの改ざんも疑われたので、ヒアリング時点では調査中だったが、委員会のメンバーや筆者がみた限りでは改ざんの痕跡も認められなかった。