top of page

スパイに対する企業の技術情報管理策とは


 

 技術獲得を狙うスパイに対し、企業はどのような対応策を検討すべきだろうか。予防、発見・検知、制御の3つのフェーズに分けて解説する。



Preventive Control:予防


<危機意識の醸成/教育・トレーニング>

 スパイなど技術を獲得しようと狙う動きが「自社の脅威」であるという危機意識を企業内で醸成し、浸透させる。

 サイバー・セキュリティー対策の一環で行うペネトレーションテスト(侵入テスト)のように、その手口を実際に体感するのも良いトレーニングとなる。サイバー空間・物理空間への侵入テストと、スパイの手口を実践し社員が情報を漏洩しうるか判断するスパイテストを実施し、セキュリティー上の脆弱性を明らかにすることに成功した訓練の事例もある。


<手口の理解>

 手口を理解する。手口を理解しなければ防ぎようがない。スパイの脅威というとニッチなジャンルと考えがちだが、他人事と考えることなく真剣に手口を学ぶ必要がある。


<保有する機微情報の把握・評価・管理体制整備>

 保有する機微情報の(1)全量を把握し、それぞれの(2)機微度合いを評価し、評価に応じた(3)区分分け(ラベリング)をし、区分に応じた適切な(4)管理体制を整備する必要がある。


 グローバル企業になると、機微情報の全量を把握するだけでも難しい。だが、把握できないことが、「管理できない=脆弱点が把握できない」といった問題を引き起こす。


 海外現地法人が保有する機微情報が、現地の国家とその敵性国家にとって重要な価値を持つ可能性がある。自社が考える機密度だけでなく敵性国家からの評価も踏まえたラベリングが必要だ(情報収集・分析を行うインテリジェンス機能が必要となる)。


 ちなみに、機微情報の区分分け、管理体制の整備が不十分であると、情報漏洩事案(以下、インシデント)が発生した際に、不正競争防止法が適用できない。泣き寝入りせざるを得なくなる可能性が生じる。不正競争防止法において「営業秘密」の侵害を訴えるには、(1)秘密管理性(組織内で“秘密”として管理されている)、(2)有用性(事業活動上、有用な情報である)、(3)非公知性(公然と知られていない)を満たす必要がある。

 企業の事情により(1)を満たしていない場合が多々ある。このため捜査機関が同法の適用を断念するケースが少なくないのが実情だ。


<保有技術・情報のアクセス権管理>

 機微情報をラベリングし、機微情報へのアクセス権を細かく管理する。セキュリティー・クリアランスと同様の考え方である。アクセス権を付与するときと更新するときに、アクセス権を付与する社員が保有するリスクを可視化・分析し、アクセス権付与の是非や付与するアクセス権の範囲を決めるといったスクリーニングすることが必須だ。


 産業技術総合研究所の情報漏洩事件について、捜査関係者の話によればアクセス権を付与するときと継続管理するとき、その2つの場面でスクリーニングが機能していなかった


 技術情報の流出では、アクセス権を持つ社員が流出の出口である場合がほとんどだ。そこで、「人」に着目した管理が重要となる。これについては、後段で詳述する。



<関係企業に関する情報収集・分析>

 企業は昨今、取引先企業のデューデリジェンスや反社会リスクの調査など健全性を確認する作業を実施している。そのとき、経済安全保障の視点は入っているだろうか。経済安全保障デューデリジェンスといった技術流出防止の観点を含めて健全性を確認すべきだ。


 中国はいくつものレイヤー(仲介人やフロント企業)を通じて技術の獲得を図る。人的ネットワークを駆使しており、関係者間の関係を解析しなければ実態が把握できないことが多い。


 その一方で、公開情報を駆使することで把握できる事例も多い。適切な観点を持って調査に取り組めば実態がつかめる。


<対策の明示=抑止力効果>

 企業として対策を徹底している旨を明示する。企業の姿勢を明らかにすることで、接触を図るスパイなどは心理的に強い抵抗感を覚える。自社のホームページや広報活動の場で、対策を徹底している旨を示すことで、一定の効果が望めるだろう。



Detective Control:発見・検知


<内部通報制度の拡充>

端緒情報を収集するのに、内部通報制度を拡充し、効果的に運用することが欠かせない。接触するスパイが「通報されていないか」と疑心暗鬼になることで抑止力の効果も期待できる。内部通報の精度を向上させるのに、スパイがどのような手口で接触してくるか、どのような人物・企業が接触してくるかを正しく理解することが有効だ。


一方で、スパイは、接触する相手にスパイだと気づかせないよう努める。気が付いたときには引き返せない状況に陥っている。そうなる前に気づけるよう、必要なのが風評の収集だ。


<風評の収集>

スパイ事案や技術流出事案では、捜査の過程で周囲の社員から風評が報告されることが多い。例えば、「外国人と飲みにいっている」とか「ネットオークションに熱心だ(金銭的に問題がある可能性)」「ビジネス系SNSをよくチェックしている」「不倫をしている(ハニートラップの可能性)」などだ。情報が断片的にならないよう、対象社員ごとに紐づけした管理が必要であるのは言うまでもない。


スパイの世界に「MICE」という用語がある。裏切りの要素の頭文字を並べたものである。

M=Money(金)

I=Ideology(思想信条)

C=Compromise(妥協させる=脅迫やハニートラップによって強制する)

E=Ego(自我=欲)

これらを動機に、人は組織を裏切る可能性がある。


 情報を漏洩させる動機を持つ社員がいないか、端緒情報をつかむのに「MICE」に紐づく風評は要注意だ。


<各種ログの収集・分析>

情報システムへのアクセスログは重要な端緒情報の1つだ。社員が、(1)関与していないプロジェクトや過去に関わったプロジェクトの情報に過度にアクセスしている、(2)勤務時間外のアクセスが増加している、(3)アクセスしたファイルを早期に削除している、など相当な数の端緒情報が得られる。


 また、勤怠状況やアクセス制限区画への入退室のログのチェックも必要だ。例えば、出退勤する時刻が不自然に早い/遅い、制限区画に1人でいる時間が長いなどだ。


 さらに、メールのモニタリングが重要であることは言うまでもない。全量をモニタリングするのは難しくとも、条件を絞ってのモニタリングは必要である。例えば(1)本文無しのメールや(2)リンクが貼付されたメール、(3)本人の担当プロジェクトとは関係のないオンライン会議のURLが記載されたメール(オンラインミーティングの画面共有機能を通じて相手方に録画させるなど)、(4)添付ファイル付き、にしぼってモニタリングする。


 社員がアクセス権を持つ情報の機密度や、関与する業務内容によって、モニタリング対象を増やすことも検討すべきであろう。



Collective Control:制御(インシデント対応)


<対応体制の整備>

 いざインシデントが発生した際、調査体制と状況に応じ、複数の部門が協力しての対応が求められる。上場企業でさえ場当たり的な対応しかできず、調査が破綻するケースが散見される。


 インシデントが起きると、ステークホルダーに影響が及ぶ。あらゆるケースを想定して、調査体制や調査マニュアル、広報プロセス、捜査機関への相談基準や相談ルートの確保など、必要な事項を整備する必要がある。


<不正調査スキルの取得>

 インシデント対応では、証拠保全やヒアリングの順を間違えると、調査事態が崩れてしまう。例えば、調査中に被疑者に退職されてしまう、退職後も調査に協力する(本人および管理者の連絡先の記載を含む)」といった誓約書を取得していなかった、というケースが多くみられる。


 パソコンやモバイル端末、サーバーなどに格納された被疑者のデータをデジタル・フォレンジックの手法によって保全し、一定期間保管する。

 今日必須となっているデジタル・フォレンジックの知識が不足している企業が非常に多い。証拠力を失わないようデータを保全する作業の知識が不足しているため、手順を間違え、証拠を失ってしまうケースが発生しがちだ。筆者がこれまでに関わった捜査や不正調査においても、データが残っていないため真相が解明できず、泣き寝入りせざるを得ないケースが多かった。


 不正調査のスキルを習得しておくこと、または信頼できるベンダーを確保しておく必要がある。



“人”に着目した情報管理


 ここで改めて、「人」に着目した管理について触れる。人に着目した情報管理について採用(入社)/在籍中/退職時(退職後)の3つのフェーズに分けて解説する。


採用(入社)

<バックグラウンドチェック> 

 機微情報へのアクセス権を必要とする職に人材を採用するときには、経済安全保障の観点を含むバックグラウンドチェックが必要だ。


(1)懸念すべき組織の出身者であるか否か、(2)懸念すべき人物との関係がSNS上に表れていないか、(3)他の法人の役員を兼任していないか、などは公開情報を元にある程度確認できる。産総研の事件では、被告が、中国人民解放軍と繋がりが深い国防七校 の教職を兼務している時期があったほか、10社にもおよぶ中国企業の役員を兼任していた。


 極めて秘匿性の高い機微情報へのアクセス権を付与する人材が対象ならば、前述の「MICE」に沿った調査をすべきだ。そして、把握した情報に基づいて、付与するアクセス権を調整する必要がある。


在籍時

<アクセス権の継続管理>

 アクセス権を付与した後も、その妥当性を継続的にチェックする。その結果に応じて、権限を継続するか否かを判断する。例えば、アクセス権を1年更新とする(アクセスする情報の機密性に応じて更新期間を設定すべき)。人事異動によって報告・決裁ルートが変わる際には、決裁権者も含めて再チェックが必要だ。


 また、対象社員が在籍中に他企業の役員を兼任する可能性がある。届け出をルールとするとともに、自己申告に頼らずに公開情報を定期的に確認するなどして状況を把握し、アクセス権限の可否をも直すことが肝要だ。


<アクセス権に応じたログの管理>

 情報の重要度に応じて、各種アクセス・ログの管理項目を調整する。機密性の高い情報へのアクセス権を持つ者については、貸与パソコンやモバイル端末に残るログはもちろん、勤怠状況や機密区画への入退室など、あらゆるログを記録・保管・分析するよう努力する。

 また、当該社員が退職した後も、ログ自体を一定期間保管する必要がある。退職後にインシデントが発覚した場合にトレーサビリティーを確保するためだ。


 他方、アクセスする情報の機密性が低ければ、記録・保管・分析するログの項目は減らしてよいだろう。


退職時/退職後

<使用デバイスなどのデジタル・フォレンジック>

 機密性の高い情報へのアクセス権を付与した社員が退職することになった場合は、使用する各種デバイス上のデータやメールを確保する。特に揮発性の高いデータは、退職を待つことなく、データが失われる前に保全しなければならない。その際に、データの復元も合わせて行うべきだ。


<退職者の動向調査>

 退職者が、自社の技術情報を転職先に漏洩し、転職先企業でその技術が流用されるケースが数多く見受けられる。退職者自身や競合企業の動向に関する情報を一定期間収集し、自社の技術情報が漏洩していないか確認する必要がある。



技術流出防止策の本質

 ここまで、技術流出を防止するため企業が取るべき対策を解説してきた。最も重要なのは強い危機意識を持つことである。ロシアによるスパイ活動や中国による技術獲得は、その手口が多種多用であり、捜査機関でさえその全てを把握することは困難である。彼らは「スパイ天国」と揶揄される日本をこれからも狙い続けるだろう。


 彼らは、法令やインテリジェンス体制を整備していない日本の弱さにつけ込むだけではない。日本社会全体の危機意識の低さにつけ込むのだ。社会全体でカウンターインテリジェンス(=外国による敵意ある諜報活動を無効にする防諜活動)の意識を醸成することで、日本の技術を守っていかなければならない。






Commentaires


bottom of page