課題・解決事例集

下請けの悩みは尽きない・・・まさか社員が技術情報持ち出し?!

【背景】

サプライチェーンイメージ画像

サプライ(Supply:供給)チェーン(Chain:連鎖)とは読んで字のごとく「供給連鎖」であり、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れのことをいいます。
製造業がGDPの20%を超える我が国では企業のほとんどがサプライチェーンの一輪です。
こちらのE社もその一つです。

池井戸潤氏が書かれた「下町ロケット」に見られるように、決して大きくない企業が世界に誇る技術を有しているということがままあります。そして競合が多いというのもまた一つの事実です。

E社は、国際特許をもつ優秀な部品メーカーです。従業員は200人いますが家族のような関係性を長く続けてきましたが、「技術情報の漏えい」を元請けから疑われ調査が入る事になりました。

<企業>
業種:製造業
従業員数:205名
情報システム部門:なし

【課題】

ある日、開発部長Oさんの下に元請けから1本の電話がかかってきました。内容は「お宅に預けた図面が海外で販売されている。流出元が限定できているわけではないが調査に入らせて貰いたい」というものでした。

今までも同業が「情報流出」を疑われたり、また事実「漏えいしていた」事も噂やニュースでは聞いていたもののどこかで他人事だったのです。元請けの調査の前に早々と社内の調査を始めました。が、原因がわかりません。

テレワークの画像

というのも製造業は、機密情報である図面などの情報管理は思っている以上に厳重に行われます。誰がいつアクセスしたのか・この情報にアクセスしていい人は誰なのかなど「製品データ管理(PDM)システム」により管理されているのです。

情報漏えいが考えられる一つの要因は海外パートナーとのデータ共有です。当然インターネット越しで行われているためサイバー攻撃による情報漏えいが考えられました。
もう一つは内部犯行です。いくら家族のような関係にあっても従業員・元従業員の情報持ち出しが絶対ないといいきれる状況にはありませんでした。 サイバー攻撃にあって持ち出されたのか、人の手を会して盗まれたのか、皆目見当がつかないという状況になってしまいました。

工場のスマート化・IoT促進など製造業はDXを求められています。E社もその波に乗っていました。ましてや国際特許を複数持ち国内外でも有数の技術先進企業であると評価されている同社は当然ながら海外からの攻撃は充分に考えられる状況だったのです。
しかし調査の結果、サイバー攻撃による情報漏えいではない事がはっきりします。

Oさんは心を鬼にして家族(社員)に目を向けることにしました。

内部からの情報持ち出しの大きな要因として「動機・プレッシャー」「機会」「正当化」という3要因がそろったときに発生するといわれます。

過去に行ったIPAの「組織内部者の不正行為によるインシデント調査-調査報告書-」でもこの様な結果が出ています。

34.2%:不当だと思う解雇通告を受けた(動機・プレッシャー)
23.2%:給与や賞与に不満がある(正当化)
22.7%:社内の人事評価に不満がある(正当化)
20.8%:職場で頻繁にルール違反が繰り返されている(機会)
20.1%:システム管理がずさんで顧客情報を簡単に持ち出せることを知っている(機会)

「動機・プレッシャー」「正当化」という意味では該当しそうな元従業員がいました。また、「機会」という意味ではPDMを利用しているとはいえ外部への情報流出にばかり目を配り、社内は意外とずさんな管理体制であったことがわかりました。

【解決】

内部不正の3大要因への有効な対策として企業として取り組むべき事は、IPAの「組織内部者の不正行為によるインシデント調査 調査報告書」にも記載があります。以下の数字は「内部不正行為防止に効果が期待できる対策」を5つ選択するというアンケートで効果があると選ばれた回答です。

1位(54.2%):社内システムの操作の証拠が残る
2位(37.5%):顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む)

クラウドを利用する人の画像

会社が社員を監視するというのを好まなかったE社は「性善説」を理由に社内での情報アクセス権は「便利」さを優先していました。結果「ルールなんてあってもないとの同じ」「管理がずさん」という印象を社員が持ち(機会)、評価への不満(正当化)があり、転職する(動機・プレッシャー)という状況が発生した際には【情報を持ち出すことができる】という状態でした。

そこで、Oさんは会社と社員を守るために全端末に「システム操作の証拠」が残り、「アクセス者を監視する」仕組みをいれようと思い立ちます。その仕組みは、「PCの操作ログを取得する」という仕組みでした。ログ取得は、様々なツールがありそれぞれ一長一短があります。そんなとき決め手になったのは、国内・国外 社内・社外を問わずログの収集ができる【クラウド型のIT資産管理ツール】ISM CloudOneでした。

後日、我々がお伺いしたところE社の場合、海外パートナーもおりそのパートナーから情報流出があった場合、責任を問われるのはもちろんE社になります。そのリスクを考えたときE社との取引のある企業全てに同じツールをいれることでセキュリティ観点のサプライチェーン・マネージメントを実行しようと考えたといいます。

ISM CloudOneは、日本国内の導入実績だけでなく東南アジアを始め世界各国に導入され、日本語・英語・中国語の3言語を使っての管理が容易にできます。基本的にはE社からの管理にはなりますが、一部の権限を現地に引き渡し運用をスムーズにするということも可能です。そのため余分な負担がかかることなく、専門の部門がなくても運用できるということが大きな決定打でした。

解決後の効果

社長
Oさん

内部のセキュリティ対策の重要性を今回は痛感しました。
今後はNIST SP800-171への対策も含めて情報セキュリティを本気で取り組んで行きます。

試して実感!ISM CloudOneの選べるトライアル

選べる2つのトライアルで、圧倒的な使用感をご体感ください!

サンプルの端末情報で、ダッシュボードでの管理作業のシミュレーションを体験できる「疑似体験サイト」、 あなたの会社の端末情報を収集して、セキュリティレベルを診断し、 30日間実際のサービスを利用できる「無料トライアル」から、お選びいただけます。ぜひお試しください!

お申し込みは5分で完了 すぐに利用可 クラウド環境で提供サーバーの準備は不要