退職した従業員は何を持ち出したか · 情報漏えいの原因...
TRANSCRIPT
退職した従業員は何を持ち出したか~人材流動化時代の情報漏えい対策とは~
トレンドマイクロ株式会社
戦略企画室 統合政策担当 小屋晋吾
2 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
アジェンダ
• なぜ情報漏えいは発生するのか
• 既存の対策とDLP(Data Loss Prevention)
• 判例から見る必要な対策
3 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
なぜ情報漏えい事故が発生するのかなぜ情報漏えい事故が発生するのか
以前 最近
情報情報
ウイルス等ウイルス等
外部脅威外部脅威
4 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
企業活動の変化企業活動の変化
差別化
企業が生き残るために
効率化
ITの利活用が企業存続の生命線
情報の流通・活用が急務
5 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
PCの利用促進PCの利用促進
インターネットの普及インターネットの普及
ペーパーレスの促進ペーパーレスの促進
対策の実施対策の実施
IT利用状況
IT化の進捗に見合う
適切な対策によって、漏えいリスクを軽減することが必要
IT化の進捗に見合う
適切な対策によって、漏えいリスクを軽減することが必要
デバイスの低価格化デバイスの低価格化
IT利用の加速により、情報漏えいも必然的に発生するITIT利用の加速により、情報漏えいも必然的に発生する利用の加速により、情報漏えいも必然的に発生する
情報漏えいのリスク
““ITITの利便性の利便性””とと““情報漏えいリスク”情報漏えいリスク”
6 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
企業内部の変化企業内部の変化
漏えい機会の拡大
社外リソースの
常用
Text
外部資産上での企業
機密の運用
外部委託の増加
終身雇用の崩壊/リストラ
の常態化
マネジメント対象・範囲の拡大
7 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
転職するのが当たり前・・・
人員カットが行われるのが当たり前・・・
企業に人が根付かない・・・
自己犠牲を払う見返りが期待できない・・・
日本の企業と従業員の関係性の変化日本の企業と従業員の関係性の変化
日本の経済を支えた
企業と社員の相思相愛関係が、
現在崩れつつある
雇用形態の変化に伴い、情報漏えいリスクが複雑化雇用形態の変化に伴い、情報漏えいリスクが複雑化雇用形態の変化に伴い、情報漏えいリスクが複雑化
※2009年 総務省統計局労働力調査より
雇用形態の変化雇用形態の変化雇用形態の変化
経済状況の悪化経済状況の悪化経済状況の悪化
日本の企業活動における変化
1990年 2008年 1990年 2008年
非正規職員比率の推移
8.8%
19.2%
38.1%
53.6%
男性 女性
8 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
なぜ情報漏えい事故が発生するのかなぜ情報漏えい事故が発生するのか
ガイドラインに沿った
ルール作成は完了した
情報管理ポリシーの策定
社内体制の整備
社内ルールの設定運
用
の
徹
底
運
用
の
徹
底
?ルールに沿った
運用が保障できない
ガイドライン、ルールを定め
人的に運用するだけでは、
情報漏えいは防ぐことができない。
情報漏えい情報漏えい
9 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
昨今、情報漏えい事件が増え続けています。
これは偶発的なミスなどから、内部の者が起こすケースが多くみられます。
内部向けの施策が必要
※2008年 トレンドマイクロ調べ
内部理由 外部理由
意図的 ・データ持ち出し
・ブログにアップ
・友人にメール
(19%)
・不正侵入
・スパイウェア
・ハッキング
(5%)
偶発的 ・紛失、不適切な廃棄
・間違ってコピー、メール
・設定ミス
(60%)
・災 害・障 害
(16%)
情報漏えいの原因「過去12ヶ月で情報漏えい
事件が発生しましたか?」
止まらない情報漏えい事件止まらない情報漏えい事件止まらない情報漏えい事件
発生した 発生しなかった わからない
9%
13%78%
この一年間で約一割が情報漏えい事件を経験
10 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
漏洩経路と対策漏洩経路と対策2009年7月10日改定JNSA2008年情報セキュリティインシデントに関する調査報告書より抜粋
11 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
漏洩経路と対策漏洩経路と対策2009年7月10日改定JNSA2008年情報セキュリティインシデントに関する調査報告書より抜粋
紙媒体の漏洩が多い 電気・ガス、運輸、金融業
USBメモリで漏洩する 医療、教育
12 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
• 持ち出しに無効
• インターネットへの送信に無効
• OS標準の機能で対応可能アクセス
コントロール
• 初期投資費用が高い
• インターネットへの送信に無効
• 盗難/紛失に効果的
• 持ち出しに効果的シンクライアント
• 漏えい自体は防止できない• 漏えい後の流出経路特定に効果的
• 従業員に対する心理的抑止効果的ロギング
• 業務効率の著しい低下(データの種類に寄らないため)
• 漏えい経路の確実な遮断
• ルール化が容易デバイス制御
• 持ち出し自体には無効
• インターネットへの送信に無効
• 盗難/紛失に効果的暗号化
デメリットメリットソリューション
いずれのソリューションも、
「リアルタイム性のある」漏えい対策にはならない・・・
既存の情報漏えい対策ソリューション既存の情報漏えい対策ソリューション既存の情報漏えい対策ソリューション
生産性を維持しつつ、「リアルタイムで」情報の漏えいを止める新しいソリューションが求められています!
13 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
アクセスコントロール
暗号
DLP(Data Loss Prevention)
DRM (Digital Rights Management)
不況時こそ不況時こそITITによる自動化が不可欠による自動化が不可欠
情報漏えい対策ソリューションの位置づけ情報漏えい対策ソリューションの位置づけ
情報漏えい事件は、内部の権限保持者から発生。
今までの情報漏えい対策製品は、“外部から“の攻撃がターゲット
社外の権限者 社外の非権限者
社内の権限者 社内の非権限者
14 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
LeakProof サーバ LeakProof Anti-Leakクライアント
①機密ファイル用のフォルダを登録機密情報をそのフォルダに格納
①機密ファイル用のフォルダを登録機密情報をそのフォルダに格納
②LeakProof サーバがその情報を元に
フィンガープリントを作成
②LeakProof サーバがその情報を元に
フィンガープリントを作成
⑤フィンガープリントとのマッチングが行われマッチした場合には漏えいをブロックする
⑤フィンガープリントとのマッチングが行われマッチした場合には漏えいをブロックする
③ LeakProofサーバから クライアントに
フィンガープリントが配布される
③ LeakProofサーバから クライアントに
フィンガープリントが配布される④クライアントが機密情報の
送信、コピーを試みようとする
④クライアントが機密情報の送信、コピーを試みようとする
⑥クライアントからサーバに
ログ情報が報告される
⑥クライアントからサーバに
ログ情報が報告される
TREND MICROTREND MICRO LeakProofLeakProofの動作イメージの動作イメージ
15 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
3種類の方法論3種類の方法論でで、、機密データだけを守る機密データだけを守る
フィンガープリンフィンガープリントト 正規正規表現表現 キーワードキーワード
構造化されていない構造化されていない
コンテンツ(ファイル)コンテンツ(ファイル)
構造化されている構造化されている
コンテンツコンテンツ
““機密機密““と特定する為のと特定する為のキーワードリストキーワードリスト
• フォーマットが一定ではない機密文書
• 設計図
• 図面
• フォルダ指定
• 口座番号
• カード番号
• 電話番号
• メールアドレス
• 会員番号
• ソースコード
• 「社外秘」
• 「親展」
• 「機密」
• 「confidential」
※※ファイル・アプリケーションタイプ(拡張子)、ファイルサイズ、ファイル名といった指定方法もあります。ファイル・アプリケーションタイプ(拡張子)、ファイルサイズ、ファイル名といった指定方法もあります。
16 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
ブロック!
デバイス無効化! 申 請!
暗号化!
外部デバイスへ
書き出すデータを強制的に暗号化!
暗号化のし忘れ防止に
USBメモリなど紛失時
の情報漏えい対策に。
登録された機密情報や
ファイルの外部への
持ち出しをブロック!
機密情報と知らずに
うっかり持ち出しも事前
予防。
使用させたくないデバイ
スの無効化も可能。
USBメモリ、CD/DVDドライブ、プリントスクリーン等
機密情報漏えいのリスク
となる可能性のあるデバイスの使用を禁止。
任意の機密ファイルや
端末に対して、持ち出し
理由のログを残して持ち出しを許可。
サーバにログが残って
いるので、いつ・誰が・
何の為に持ち出したのか
を把握。
3つのアクション+デバイス無効化で機密データを保護33つのつのアクション+デバイス無効化で機密データを保護アクション+デバイス無効化で機密データを保護
17 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
株式会社ファースト
■本 社 神奈川県大和市■設 立 1982年■正社員 130 名■事業所 神奈川県綾瀬市 ソウル 台北 上海■URL http://www.fast-corp.co.jp
同社は産業分類としては電子機器製造業であるが、検査装置などに使用される画像認識技術において、その独自のソフトウェアプログラムが他社との差別化を決定的なものにしていると言える。同社の製品群はWebページでも数多く紹介されている。用途としては工場の生産ラインで利用される画像処理が多いが、その利用分野はさまざまである。代表的なものをいくつかあげると、半導体や電子部品の外観検査(傷・欠け・断線など)、薬品やその包装材の外観検査(異物混入・破れ・割れなど)、食品の具材(パッケージ物)有無検査や消費期限などの印字検査、液晶テレビの表示検査(シミムラ欠陥など)、菌の分布検査(大腸菌の分布など)、ラベルの印刷検査(色ズレ・印刷抜け)などと多岐に渡っている。
※写真1カメラで認識したパターンを三次元空間に配置した処理過程の画像である
お客様お客様導入事例導入事例 –– 製造業製造業
18 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
社員による持ち出し社員による持ち出し
• あなたが転職する場合、会社の情報を持ち出しますか?
YES 53.9%NO 46.1%
n=570 2009年7月 トレンドマイクロ調べ
• 持ち出す情報はどのような情報でしょうか?– 自分のメールやプレゼンテーション 48.5%– 顧客データ 29.9%– 上司・同僚などの社員情報 12.3%– 会社の知的財産 4.5%– 会社の財務情報 4.5%
19 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
持ち出したい情報持ち出したい情報
• 明日解雇されるのであれば情報持ち出しをすると回答した
IT管理者 → 88%
• 持ち出すと答えた情報– CEOのパスワード
– 顧客データベース
– 研究開発計画
– 財務報告書
– M&Aプラン
– 機密情報のパスワードリスト
2008年 Cyber-Ark社調べ
• ITスタッフの3割はネットワーク内の機密情報を探した
• IT管理者の3割はパスワードをポストイットに書き留めた
20 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
判例から見る課題判例から見る課題
• 平成17年損害賠償請求事件– 原告 人材派遣業 A社– 被告 被告P1、2、3、コンサルタント業 B社
• 概要– 原告の元従業員である被告ら3名および同人らを雇用した被告会社
は、原告の顧客に対する情報および派遣スタッフに関する情報を使用して原告の顧客の派遣元を原告から被告会社に変更させ原告の派遣スタッフを被告会社の派遣スタッフとして登録させたとして不正競争防止法に及び予備的に民法709条基づき損害金を求めた
• 判決– 原告の請求をいづれも棄却
– 訴訟費用は原告の負担とする
21 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
• 判決の理由(不正競争防止法に関する部分のみ)
– 被告らの持ち出した情報は営業秘密とはいえない
• パソコン中の当該情報に関して全従業員がアクセス可能であった上、営業秘密としての表示もなかった
• 当該情報は多人数の派遣スタッフに交付され、そのものたちによって持ち歩かれ、保管蓄積も可能であった。
• コンプライアンスに関する誓約書には営業秘密の保持の条項があったが、個々の情報の取り扱われ方によっては営業秘密と理解されない可能性がある
22 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
判例から見る課題判例から見る課題
• 平成20年損害賠償請求事件– 原告 販売業 C社
– 被告 被告A、B
• 概要– 原告の元従業員である被告Aは、原告を退職した後協業会社に就職
し在職中に得た商品の仕入先情報を利用して業務を行っていることが原告および被告A間の秘密保持に関する合意に違反する。原告および被告A間の協業避止に関する合意に違反する、または不正競争
防止法所定の不正競争行為に該当するとして損害を賠償を請求する(被告BはAの身元保証人)
• 判決– 原告の請求をいづれも棄却
– 訴訟費用は原告の負担とする
23 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
• 判決の理由(不正競争防止法に関する部分のみ)
– 被告らの持ち出した情報は営業秘密とはいえない
• サーバー中の当該情報に関してアルバイトを含む全従業員がアクセス可能であった上、営業秘密としての表示もなかった。
• そのファイル自体には情報漏えいを防ぐための保護手段がなんら施されていなかった。
• 原告において従業員に対し、本件仕入先情報が営業秘密にあたることについて注意喚起するための特段の措置も講じられていなかった。
• 別途当事者間で締結している秘密保持契約にしても本件機密事項等についての具体的な定義はなく、その例示すらされていないため、いかなる情報が本件秘密保持の対象となるか不明といわざるを得ない
24 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
人材流動化時代に必要な対策人材流動化時代に必要な対策
秘密管理性の確保– アクセス制限
• アクセスできる人間の制限を設ける
• 電子的アクセス制限の実施
• 物理的アクセス制限の実施
• コピー・送信の制限を行う
– 客観的認識可能性を確保する
• 「社外秘」「機密」等の書類上での表示
• 秘密管理の責務を認知するための教育の実施
• 就業規則などでの明確な規定
• 誓約書・秘密保持契約の締結
25 Copyright © 2009 Trend Micro Incorporated. All rights reserved.
まとめまとめ
• 守るべき情報の特定が必要
• 外部からの脅威だけでなく、内部への対策が必要
– 偶発的漏洩への対策
– 故意の漏洩への対策
• 機密情報(営業秘密他)の生成から廃棄までの
プロセスを把握
• 正規従業員および非正規従業員への継続的な教育
• 正しいツールの利用による、コスト削減を考慮
26 Copyright © 2009 Trend Micro Incorporated. All rights reserved.