オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

営業秘密持ち出し漏洩事件の関心が高いのと実際の対策が乖離しすぎている現実

»

日本ペイントで起きた秘密情報漏洩事件、2つの雑誌から取材を受けました。似たような事件はそれなりにあると思うのですが、職業柄似たようなことが多くあるからなのか、感覚が麻痺しているのか・・・そんなに変わった事件なのか?と、今一度インパクトを考えてみました。

営業秘密持ち出し:容疑の日本ペイントHDの元役員を逮捕

愛知県警が不正競争防止法違反容疑で

勤務していた日本ペイントホールディングス(HD、大阪市北区)の主力商品の営業秘密を持ち出したとして、愛知県警は16日、菊水化学工業(名古屋市中区)常務、橘佳樹容疑者(62)=名古屋市瑞穂区弥富町緑ケ岡=を不正競争防止法違反(営業秘密の開示)の疑いで逮捕した。

警察摘発、氷山の一角

経済産業省が2012年度に全国約1万社を対象にした実態調査で、回答した約3000社のうち、製造工程の情報や顧客名簿など閲覧が制限される「営業秘密」の漏えいが「明らかにあった」「おそらくあった」と答えた企業は13.5%。
同省によると、信頼低下を懸念して警察への通報をためらうケースが少なくないほか、漏えいに気付いていないケースも多いとみられ、担当者は「実際の被害はもっと多いだろう」と指摘する。

この事件のインパクトって?

元役員であったこと、転職時に秘密情報を持ち出したこと、、転職先では常務だったこと。と考えます。

関連ブログ:たった1人の情報漏洩事件で1000億円規模の打撃をどう考えますか?

この条件としては、

1.金銭的に価値のある情報があって(営業秘密)

2.持ち出せる環境や権限もあり(役職)

3.チェック体制、ゆるい管理・・・(環境)

こんな状況が揃うと。。。です。これらは全部マネジメントですよね。

やってはいけないことと、実際にやろうと思ったらできてしまうこと。どの段階で止まるかは誰にもわかりません。

となると。。。そりゃ・・お土産として持って行く?のかもしれません。

しかしこれって。。。普通に仕事するための状況です。こんなの制限されたら仕事にならないですよ。ってことは、誰にでもカンタンにできることでは・・・?
という認識が必要です。

 超乱暴な言い方すれば、漏洩が出来るくらいの環境でなければ窮屈すぎて普通に仕事出来ないってことです。

ギリギリ塀の上をバランス取りながら歩いているようなもので、どっちに落ちてもおかしくないこと。誰にでもあり得ることです。それくらい当たり前の普通なこと。

じゃあ、1~3の同じような条件を情報からお金に変えてみるとどうなるでしょうか? だいたい不正とかにはお金が絡んできます。

1.金銭的に。。。(このケースではそもそもお金)

2.持ち出せる環境や権限

3.チェック体制、ゆるい管理

これ2か3あたりで早期に見つかるはずですし、意外と厳しいチェック下に置かれていることが多いはず。これも先に共通するには「普通に仕事している状態」です。

他にも色々と当てはめることができそうです。要は情報と他を比較した場合に、どれだけ情報の扱いが雑であるかを知ることが重要なのです。

どのように防げるか?

漏洩天国、楽園のようなものです。動物なら目の前にエサがあれば食べますよね。

例えば、情報漏洩対策の場合、PCまわりの対策やUSBメモリなどのメディア等の管理はしっかりするのに、同じ情報がアナログつまり印刷された紙媒体などの管理が行き届いてない。。。などなど。どんな入れ物に情報が乗っているかの違いだけです。

例えば、漏洩できない環境作りは「模範的回答」としてきれいですが、実際にはまず不可能です。漏洩できるくらいの自由度があるから、仕事が円滑に進む訳です。この矛盾しているようなことは解決できないので、どこかで折り合いをつけなければ進みません。

簡単に白黒どっちかとできないから面倒でもありますが、やりにくい環境は作ることができます。100%できなければ意味がないのでしょうか? より100に近い状況は半分より少し大きい51かも知れませんし、99かもしれません。

セキュリティに対する認識、マネジメント視点を変えなければ、はっきりと見えてきません。セキュリティマネジメントだけが難しい訳ではないと思います。

Comment(0)