HPE Blog, Japan
1823228 メンバー
3741 オンライン
109648 解決策
新規ポスト
IceWall_Mktg

増える「手土産転職」のリスク 内部不正の脅威とアクセス制御の新たな役割

働き方の柔軟性が向上し、さまざまな場所から多様なシステムにアクセスしながら業務を行うようになった現在、企業にとってより難易度が高まっているのが、内部不正による情報漏えい対策です。特に転職時に情報を持ち出す「手土産転職」は企業にとって大きなリスクとなっており、情報へのアクセス権限の管理やアクセス制御の仕組みを強化する必要があります。

 

 

「手土産転職」により企業の重要情報が漏えいする事故が多発

近年、「手土産転職」によって企業の重要情報が流出するリスクが高まっています。手土産転職とは、社員が転職する際に、転職元企業の顧客情報や取引先情報、人事情報、機密性の高い製品情報などを手土産のように転職先に持参することです。

企業が保有する情報は機密情報に限らずライバル企業にとって貴重な情報になり得ます。また、社員にとっても重要な情報を転職先に提供することで自身の価値を高めようという思惑があります。

しかし、社員が事業活動で知り得た情報は、所属先企業の資産と見なされるのが一般的であり、社内規則や契約書でそれら情報の取り扱いを明確に規定している企業がほとんどです。退職時に在職中に知り得た他社の名刺に関する情報を持ち出すことを禁じている企業も少なくありません。そのため、手土産転職は明確な内部不正と見なされ、発覚した際には罪を問われます。

IPA(情報処理推進機構)が公表している「情報セキュリティ10大脅威」でも「内部不正による情報漏えい等」は過去10年にわたってランキングしている脅威です。同書2024年版では「前職場が保有する名刺情報を転職先に提供」した事例が紹介されています。

このケースでは、名刺情報管理システムにログインするための IDとパスワードを転職先の従業員に共有しており、実際に営業活動に使用され成約事例もあったことから、個人情報保護法違反(不正提供)等の疑いで名刺情報を持ち出した社員は逮捕されました。ほかにも、製品開発にかかわる情報を海外企業に転職する際に持ち出す産業スパイと見なされ、不正競争防止法違反や営業秘密の窃盗と見なされるケースは多くあります。

pic_手土産転職と内部不正.jpg

独立行政法人情報処理推進機構「情報セキュリティ10大脅威」を元に作成 https://www.ipa.go.jp/security/10threats/index.html

 

「手土産転職」が拡大する背景と主なセキュリティリスク

手土産転職によって、情報漏えいが起こると企業には大きな被害が及びます。顧客情報が他社の営業活動に使われたり、製品の機密情報が他社製品に使われたりすることで、競争力が落ち、財務的な損失につながります。また、情報漏えいに適切に対処できないことで、市場やステークホルダーからの信頼を失うというリスクもあります。加えて、取引先から情報漏えいによる損害賠償を求められることもあるでしょう。

手土産転職を含む内部不正が生じる背景には、ビジネス環境やIT環境が大きく変化したことが挙げられます。テレワーク、リモートワークが普及したことで、物理的に出社する回数が減り、ファイルの不正持ち出しに対する周囲からの監視が弱くなる、持ち出すことに心理的な障壁が下がってしまったということが考えられます。

さらに、SaaSなどのクラウドサービスが普及したことで、社員はどこからでも業務で使用しているシステムにアクセスできるようになりました。利便性が高まる反面、システム管理の難易度は大きく上昇し、セキュリティリスクにつながっています。

例えば、社員が退職、転職したときには、該当のアカウントの削除または権限の剥奪やアクセス制御などの対策を実施する必要があります。しかし、管理対象のシステムが増大して管理の負担が増えると、こうした作業にも手が回らなくなり、設定漏れや実施漏れ、実施遅延などが増え、それがセキュリティホールになります。

もちろん退職時だけに注意を払えばよいわけではありません。内部不正を働く者の中には、退職時だけでなく在籍中から継続的に情報を持ち出しているケースがあります。つまり、平時から不正をモニタリングする仕組みやアクセス権限のチェックなどを行っておく必要があるでしょう。

 

「手土産転職」リスクを最小化する方法とは

手土産転職を含む内部不正に対しては、社員に対する情報リテラシー教育やモラル教育から、物理的なセキュリティ対策までさまざまな手段を組み合わせて対抗していくことが求められます。

IPAの10大脅威では、内部不正への対策・対応として「被害の予防」「被害の早期検知」「被害を受けた後の対応」を挙げています。

具体的には、「被害の予防」では基本方針の策定、資産の把握・対応体制の整備、重要情報の管理・保護、物理的管理の実施、情報リテラシー・モラル向上、人的管理・コンプライアンス教育の徹底があります。

また、「被害の早期検知」ではシステム操作履歴の監視を行います。さらに「被害を受けた後の対応」では、適切な報告・連絡・相談、インシデント対応体制の整備と対応、内部不正者に対する適切な処罰の実施を行います。

そして、セキュリティ製品を活用しながら、具体的に以下の運用を行っていきます。

アカウント管理とポリシー制御

ユーザーが重要情報に不正にアクセスできないように、アクセス制御を実施します。アカウント管理が適切に実施されず、退職者のアカウントが残っているような場合でも、もし動的なポリシー設定によって機密情報へのアクセスを制限できるようにする技術を採用していれば、設定漏れや実施漏れがあっても情報漏えいのリスク回避の可能性を高められます。

ログ監視と不審な動きの検出

アクセスログを継続的に監視し、通常とは異なる大量のデータダウンロードや外部デバイス接続などの不審な操作があった際に管理者に通知して早期に検出する仕組みを導入します。ポイントは、管理者の手間をできるだけ削減できること、不正を正しく検知して速やかに対応できる仕組みを持つことです。

情報へのアクセス範囲の最小化

役割や業務内容に応じたアクセス権限の付与(RBACRole Based Access Control)を行います。ここでのポイントは、必要最低限のデータのみにアクセスできる「最小権限の原則」を徹底することです。これにより、退職時に持ち出される可能性ある情報への量自体を減らすことができます。

 

内部不正に対抗するための具体的なセキュリティソリューション

内部不正対策を行うにあたり必要な具体的なセキュリティ製品にはどのようなものがあるでしょうか。さまざまなところに散在するリスクに備えるには、単一の製品でカバーできるケースは少なく、複数のソリューションを組み合わせることが有効です。

具体的には、ID&アクセス管理、アクセス制御、デバイス制御、ログ管理、DLPData Loss Prevention)、CASBCloud Access Security Broker)などが挙げられます。情報資産を棚卸し、流出した場合のリスクの大きさや業務への影響度を考慮し、優先順位をつけて、必要な対策を講じていきます。

手土産転職などに限らず内部不正対策を行う際に心がけたいのが、先にも触れた「最小権限の原則」です。「そもそも不必要に多くの情報にアクセスさせず、適切な人に適切なアクセス権限を渡す」ことを徹底することで、セキュリティリスクを大きく下げることができます。

こうした情報へのアクセス権限をコントロールするにあたって中核を担うのが認証やアクセス制御などのソリューションです。HPEでも、統合認証・認可プラットフォームとして「HPE IceWall」を提供しています。ポリシーベースの効率的なアクセス制御の管理が可能であるため、企業の内部不正リスク対策に貢献できます。ぜひこのようなソリューションを活用しながら、セキュリティ強化を実践していただければと思います。

 

関連リンク:

認証・認可プラットフォーム HPE IceWall ハイブリッド環境の認証もシームレスに

認証・認可プラットフォーム HPE IceWall(製品情報リンク集)

 

お知らせ:

本ブログを担当するIceWall_Mktgのメンバーが、2025年4月25日(金)開催「HPE Innovation Day with NVIDIA」の展示ブースに出展します。
お気軽にお立ち寄りください!

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。