コスト削減が招いた情報漏えいの理由 「内」と「外」の盲点：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

リース会社が競合から顧客を奪う直前で、その機密情報が競合に漏れた。その原因はリース会社自身にあったのだが、だれもが気付かない点に理由があったのだ。

[萩原栄幸，ITmedia]

　新宿に本社を構えるA社は、企業向けのリースを主体に伸びてきた。そのA社のコンプライアンス統括部長から、正式に情報漏えいの原因調査とその対策の提示、実現までの支援を手伝ってほしいと依頼があった。彼は「原因調査に2カ月、対策案策定に1カ月、その遂行に2カ月、予備として1カ月で何とかしてほしい」という。筆者はまだ何も知らない状況で、そんな確約はできない。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　そこで筆者はコンプライアンス統括部長に、「2、3カ月後に中間報告をする。そこでスケジュールを確定するのはどうか？と話した。また、こうしたスケジュールでは通常の情報漏えい防止対策作業（月に数回）ではなく、集中作業になる。緊急案件であれば1カ月程度で作業することになるが、今回は6カ月ある。「週2日が限度なのだが……」とお伝えした。

事案：企業向けリースで急成長したA社。そこで1カ月前に極めて重大な情報漏えい事件が発生した。

　事件の内容は次の通りだ。A社は、実は東証1部上場企業のB社に果敢に営業を仕掛け、B社とそのグループ企業全てのリース契約をライバルのCリースから奪おうとしていた。A社の計画は、9カ月後にほぼ全てのリース契約を奪うというドラスティックなもので、しかもその計画は十中八、九成功するだろうというところまで完成していた。ところが先月、A社にとってここ数年で最も重要なこのB社との新規契約が流れてしまった。

　理由はA社にあった。このようなプロジェクトは通常、極秘裏に行われる。もしライバルのCリースがA社の作戦を知れば、当然ながら対抗策を打つ。A社は完全な機密事項にすべく、その防衛策を信頼関係のある大手電気メーカーであり、IT企業としてもあまりにも有名なD社へ全面的に委ねた。

　だが結果的に情報が漏えいしてしまった。しかも、その後の調査で漏えいしたのは明らかにA社側の原因だとも分かった。漏えいした内容はB社に存在しない情報であり、A社しか知り得ない情報であった。その内容を簡単に説明すると、リース事業におけるA社の損益分岐点、つまり、赤字にならない範囲でB社に提示するリース契約の割引率をどうするかというものである。その後にC社は、対抗策としてA社にはないスケールメリットを発揮し、相当に充実した「サービス面」とリース料金の特別割引をB社に提示した。

　創業時からC社と取引関係にあったB社としては、A社に乗り換えることが事前に判明してしまったという負い目もあり、このC社の提案を受けざるを得なかったようだ。金額こそA社よりは高いが、それ以上にサービス面が充実しており、B社の現場からもC社の提案を支持する声が強かった。最近はコスト意識からグループ全体で他社に乗り換えるということもよくある。そういう状況なので、創業時からの付き合いというだけではC社と契約を継続する理由にはならない。B社がA社への乗り換えを検討した背景には、B社との付き合いに安心してしまったC社の傲慢さもあったようだ。

　さて状況説明はこのくらいにして、A社の作戦に関する情報はいったいどこで漏れたのか。筆者は今までの事案と同じようにあらゆる可能性を考慮し、その可能性の1つ1つを論理的な根拠や現実の証拠などに照らして潰していった。本連載で紹介したこれまでの事例でもお分かりの通り、この作業はだいたい最後まで完遂することは少ない。さまざまな事実や情報を整理していくと、その企業の思わぬセキュリティホールが徐々に浮かび上がってくるからである。

　今回の事案でも調査の過程であることに気がついた。それはA社の本社が「自社ビル」という点である。当然ながら、ビルの警備会社もA社で選択し、契約している。警備会社はA社の初代社長の時代から利用しており、その品質は業界でも有名であった。社員教育もすばらしく、筆者も何度か訪問をして「問題なし」というほどきちんと対応をしていた。だが、ここにセキュリティホールがあったのだ。