サイバー攻撃による被害件数は、世界的にも増加の一途をたどっている。そして、その攻撃は外部攻撃とは限らず、社内あるいは退職者による重要なデータへの不正アクセスも頻繁に発生している。そうした内部不正は、社内の人間であればだれでも容易に情報を持ち出せる環境によって招かれる。情報を保護するためのパスワード管理とアクセス制御を適切に行うことが内部不正防止のカギとなるが、具体的にはどのような対策を施していくべきなのだろうか。本稿では、ある商社で起きた情報漏洩事件にスポットを当て、内部不正に対抗するパスワード管理のあり方を探る。

同業他社への転職。“手土産”に機密データを

とある中堅商社X商事のIT部門で働いていたBさんは、スキルアップを目的として競合のY商事に転職をすることになった。 そして、転職を前にして、Bさんの頭に一つのアイデアが浮かんだ。

「X商事の顧客情報を競合であるY商事に持ち込めば、自分の手柄になるに違いない」

X商事では、「特権アカウント」の管理がきちんと行われておらず、固定のパスワードをIT部門内で共有していた。特権アカウントとは、機密性の高い情報へのアクセスやシステムの起動・停止などの高度な操作が行える、強力な権限を持ったアカウントであり、通常であればアクセスできるユーザーが最小限になるよう制限されている。
IT部門に所属していたBさんは、システムの高度な操作権限を持った業務で必要な特権アカウント以外にも、さまざまなシステムに自由にアクセスできる状況であり、顧客情報はもちろん価格情報、開発に関わる製品情報といった機密データを持ち出すことが可能だった。

転職が決まってから退職までの間、BさんはX商事の特権アカウントで色々な業務システムにログインし、業務上の多様な機密情報を盗み出した。

  • X商事の機密情報を盗むBさん

Bさんが退職してしばらくしてから、X商事はBさんのパソコンから漏出の痕跡を検知し、Bさんの不正アクセスは程なくして明るみに出た。しかし、X商事の機密情報はすでにY商事に多数流出してしまっていた。結果としてBさんは、不正競争防止法違反の罪に問われ社会的制裁を受けたのだが、X商事も取引先企業から重要な情報をきちんと管理できていなかったことで訴訟を起こされ、多額の賠償金を支払うことになった。さらには、会社の信用と社会的評判が失墜し、いわゆるレピュテーションリスクを引き起こして、多くの企業との取引停止も発生した。社会的信用の損失に加え、売上高が大きく減少する事態に発展してしまった。

  • 様々な被害を被ったX商事

アクセス権限を管理できていない状況が内部不正を呼ぶ

このインシデントの要因を考えた際に、X商事が従業員に対してアクセス権限の管理をしっかり行えていなかったことが、最も注目すべきポイントに挙げられる。もしも、特権アカウントが必要なユーザーをしっかり把握したうえで管理を徹底していたならば、特権アカウントを利用したBさんの不正アクセス及びデータ窃取も防ぐことができたはずだ。

実際に、転職時に勤めていた会社から、不正に取得した秘密の情報を転職先に持ち込んだという事例はしばしば見られる。某大手通信会社の元社員が営業上の秘密を転職先に漏洩させた事件は、記憶に新しいことだろう。この事件では、不正競争防止法違反により情報を不正に持ち出した元社員は、懲役2年・執行猶予4年・罰金100万円の有罪判決を受けている。そのほか、ゲーム業界においても開発中のデータを窃取してからライバル会社に移ったというケースもあり、どの業界でも起こり得る事件なのだ。

機密データの保存及び取り扱いに関しては、どの企業においてもローカルやUSBメモリへの保存を禁止する、会社が指定したストレージ以外には保存できないようにするなど、一定のルールが定められ、厳格に実行されていることだろう。ところが、その情報にアクセスできるID・パスワードに関しては、厳密に管理されていない企業も未だ多いようだ。

また、イベントやプロジェクトなどスタッフを特定の時期だけ雇用するケースでは、IDは固有のEメールアドレスを利用するものの、臨時雇用者の共有のパスワードを用いることがあるという。そのような場合、雇用解除の際にIDが無効になっていても、何らかの手段で他のスタッフのEメールアドレスを入手さえすれば、共通のパスワードで不正アクセスし、機密情報を簡単に盗み出すことができてしまう。

従業員にパスワードを“知らせない”方法も

では、こうした内部不正の事態を防ぐため、企業はどのような特権IDやパスワードの管理を実施すればいいのだろうか。

社員に対するパスワード管理の観点から注目したいソリューションが、Keeper Security APACが提供する企業向けパスワードマネージャー「Keeper Password Manager」である。従業員が使用するパスワードの管理を高度化し、パスワードに起因する内部不正の防止にも威力を発揮する。

Keeper Password Managerは、強力・複雑かつユニークで安全性が極めて高いパスワードをシステムごとに自動で生成する機能を持っている。ログイン情報は安全で暗号化されたデジタルボルト(保管庫)に保存され、システムや情報へのアクセスが必要なユーザーのみにパスワードを付与することができる。これにより、内部不正のリスクを大幅に軽減することができる。

そして、Keeper Password Managerの一番のポイントは、ファイルやデータへアクセスするパスワードを“従業員に隠す”ことができる点だ。自動で生成された安全なパスワードは、ユーザーがアクセスする際に自動入力されるため、従業員にパスワードを知らせることなくシステムやアプリケーション、Webサイトの円滑な利用を実現できる。
従業員にパスワード自体を知らせなければ、既知のパスワードを悪用して不正アクセスするといった事態は、完全に防ぐことが可能になる。加えて、従業員はパスワードを覚える必要がなくなるため、利便性が向上するという利点があり一石二鳥というわけだ。

  • デモ画面_安全に認証情報を共有できる

    管理者は従業員に対して、安全に認証情報の共有を行うことができる

昨今では、リモートアクセスが当たり前になっていることから、特に不正アクセスされる危険性も高まっている。そのため、パスワードを従業員に知らせることなくデータへの安全なアクセスを実現するKeeper Password Managerの機能は、とりわけ従業員の出入りが激しい企業にとっては、セキュリティを保持する上で非常に有効な手段となるだろう。

今回のX商事の内部不正の事例のように、機密情報を狙ってくる敵は必ずしも社外の人間とは限らない。情報漏洩を防ぐには、自社の従業員に対するセキュリティ対策も非常に重要になってくる。適切なアクセス権限の管理や、従業員がパスワードを把握しなくともアクセスできる環境を構築できれば、不正アクセス経路を遮断し内部不正を未然に防ぐことに繋がるだろう。

●関連記事

Keeper Security APACの社員が語る、エンドユーザー任せのパスワード管理の危険性
https://news.mynavi.jp/techplus/kikaku/20230901-2753267/

企業プロフィール

Keeper Security APAC株式会社
〒105-0001 東京都港区虎ノ門4丁目1−13 プライムテラス神谷町 4階
TEL:03-4520-3510
製品ページ:https://www.keepersecurity.com/ja_JP/enterprise.html

[PR]提供:Keeper Security APAC