ファイルセキュリティ関連記事

2024年2月26日に東京地裁はかっぱ寿司がはま寿司の営業秘密を不正に使用したとして、不正競争防止法違反（営業秘密侵害）罪でかっぱ寿司に対して有罪判決を下した。この事件は、2020年にはま寿司からかっぱ寿司に転職した田辺元社長がはま寿司の元部下から商品原価などの企業秘密データを含むファイルを入手して、かっぱ寿司の商品企画部長だった大友氏に渡し、かっぱ寿司が不当にはま寿司との競争に有利になったものである。近年増加している転職の際の企業秘密漏えい事件として注目を集め、企業としてのかっぱ寿司の運営会社、個人の田辺元社長、大友元部長に有罪判決が下っている。モラルの低下など憂慮すべき点が多い事件の中、データセキュリティの観点からも多くを考えさせられる。 まず、かっぱ寿司および大友被告は、「データは秘密として管理されてなかった」として問題の情報はそもそも営業秘密には当たらず、無罪だと主張した。しかし、判決は、データが「はま寿司の事業活動に有用な技術上または営業上の情報」であったことなどから不競法上の営業秘密に該当すると認定。カッパ社に対して「事業者間の公正な競争を阻害し、会社の規模を考えると影響は軽視できない」と批判した。しかし、データを十分セキュリティで保護しないとそれは企業秘密ではないとも解釈できるという被告側主張も無視できない。一部報道では、ファイルは田辺元社長の元部下がメールで元社長に送信し、ファイル共有サービスからUSBに落とされた上、持ち出されたと言われている。つまり、十分にセキュリティが機能していたか疑問が残る。 データセキュリティは、大きく分けて2種類ある。まず、重要なデータへのアクセスを制限する各種施策がある。これは、権限を持たない者はデータをアクセスできなくすることだ。しかし、今回の事件ではアクセス権限を有する元部下がファイルを田辺元社長に渡し、元社長はそのファイルを持ち出してかっぱ寿司の大友元部長に漏えいしている。つまり、アクセス制限だけでは、今回の事件は防げなかったことになる。 もう一つのデータセキュリティは、ファイルそのものを暗号化し、権限を持つ者しか開けないようにするものである。IRM（インフォメーション・ライツ・マネージメント）を含むこうしたセキュリティ施策は、ファイルが不正に流出しても流出先は、その内容を見れなくするものだ。今回の事件に当てはめると、ファイルを最初にアクセスした元部下はファイルを開けても、ファイルセキュリティがかけられていればその先の元社長、かっぱ寿司の元部長はそのファイルの中身を見ることはできず、不正利用は起こらなかった。そのため、はま寿司は、アクセス制限はしていてもファイルセキュリティまではかけていなかったと考えられるのである。 転職が企業の人材戦略に欠かせない現在、今後このような事件は幾度なく再発する危険性がある。こうした現実を直視し、企業はアクセス制限、ファイルセキュリティの両方を活用して自社の秘密情報を守らなければ厳しい競争下で生き残れないと言っても過言ではない。

オンラインファイル共有の新常識 テレワークや業務のデジタル化でドキュメントをメールに添付、ファイル共有サービスで送信する機会が増えています。しかし、それに伴い機密性の高い重要ファイルの漏えいリスクも増加します。本稿では、どうすれば漏えいを防止しながら安全にオンラインで情報共有をできるのかを考えていきます。 お客様に送った見積もり書、投資家に送った事業計画書、取扱店に送った新製品企画書。。。このようなドキュメントがなぜか競合先の手に。。。 このようなケースを、多くの人が一度は経験しています。そして、その起源は、メールに添付したファイルや共有サービスで送ったファイルの場合がほとんどです。 では、どうすればこのような情報漏えいを防げるのでしょうか？ 上記のようなケースは、送付されたファイルは相手に見せるためで、相手方がそれを編集加工するためではありません。あるサーベイでは、オンラインで共有されるファイルの9割以上が「見せる」ための共有であることが判明しています。 それなら、相手による編集・加工の必要ない「見せる」ためのファイルは、「渡さないで見せる」ことで漏えいリスクを大幅に低減できます。見せたいファイルを閲覧専用のダウンロード不可な形で 共有すれば、相手方がファイルを第三者に再共有できません。データの無断利用も防止できます。 弊社の提供するSecureMailとSecureDriveサービスは、共有したいファイルを閲覧専用のダウンロード不可のリンクに変換する機能を備えており、簡単に「渡さないで見せる」を実現できます。また、リンクは特定の人しか見れないように多要素認証で保護され、閲覧者を特定できるウオーターマーク（透かし）を入れることもできます。 しかし、メール添付のように慣れ親しんだ業務フローは、中々変えられるものではありません。SecureMailは、そのためにMicrosoft OutlookとグーグルのGmailに組み込んで添付ファイルと同じような操作で使えるように設計されています。 また、セキュリティも重要ですがコストが高すぎては、中々手が出ません。SecureMailにはライトユーザーに最適な無料プランも用意してますのでコスト意識の高い中小企業でも容易に導入できます。 デジタル化、オンライン化で業務効率を向上させながら大事な文書を漏えいから守る「渡さないで見せる」。是非、今日から実践してください。

携帯電話大手のソフトバンクの元社員が同社の５G関連技術情報を勝手に持ち出し、その機密情報を持って競合他社に転職したと報道されています。元社員は、不正競争防止法違反（営業秘密領得）容疑で警視庁に逮捕され、ソフトバンクは、転職先の楽天モバイルに対して営業秘密の利用停止と廃棄などを目的として民事訴訟を提起する予定だと発表しました。 2014年に起きた東芝の半導体技術情報の漏えい事件を含め、こうした離職者による知的財産の盗難は後を絶ちません。では、企業は、どうやって離職者による機密情報の持ち出しを阻止できるのかを考えましょう。 今回の事件では、退職前に元社員が社内のサーバーから機密情報の入ったファイルをメールに添付して個人のパソコンに転送して持ち出したと見られています。機密情報を社員に利用させる際に、コンテンツセキュリティをかけておけば次のように今回のような事態を防止できます。 社員が編集・加工する必要がないファイルはオンライン閲覧専用とし、ダウンロードができないようにする。こうすれば、ファイルそのものが持ち出されることを防止できます。また、閲覧者を特定できる透かしを入れることで画面を撮影して流出させることも抑止できます。 ダウンロードが不可避な場合は、Digital Rights Management（DRM）による暗号化でファイルを保護し、退職した社員はファイルをそのまま持っていても、開けなくしてしまえば万一ファイルが持ち出されても退職後の不正利用を防げます。 メールにファイルを添付する場合は、上記のような処置が自動的に取られるような仕組みにしていれば、メールを使った不正な流出を防止できます。 あらゆる業務がデジタル化されている現在、機密情報の内部者による流出を防ぐためにコンテンツセキュリティは必須です。しかし、多くの企業は外部からの侵入などの対策は講じていても、重要データそのものは保護していないのが現状です。会社の機密情報を守るコンテンツセキュリティの重要性は増すばかりだと筆者は考えます。

最近「PPAP禁止」がトレンドしています。ここで言うPPAPとはメール添付ファイルをパスワード付ZIPファイルとして暗号化し、パスワードを別メールで受信者に送信することです。暗号化することでセキュリティが向上するかと思われていましたが、実はその逆であることが最近わかってきました。では、メール添付ファイルによる情報漏えい防ぐためにどのようなセキュリティ対策が有効なのか？PPAPの問題点とともに考えていきましょう。 PPAPの問題点 そもそもパスワードを同じメールアドレスに送るので、誤送信した場合は何のセキュリティにもなりません。また、相手方がパスワードでファイルを解凍した後は、不正コピーや漏えいが可能です。 添付されるファイルが暗号化されているため、送信時にDLP（Data Loss Prevention）などの仕組みで個人情報など外部持ち出し禁止の情報が含まれているかをチェックできません。さらに、受け取り側でも暗号化されているファイルはフィッシングやウイルス対策ソフトで検査できません。 PPAP後の添付ファイルセキュリティ 弊社のSecureMailのようなコンテンツセキュリティは、PPAPの問題点をクリアしながら、情報漏えい防止にはるかに有効な対策を実現します。SecureMailは、添付ファイルをクラウド上のサーバーでプロテクトをかけ、受信者はメール本文に挿入されたリンクからファイルを閲覧またはダウンロードする仕組みです。ダウンロードファイルはDRM(Digital Rights Management)によるコピー防止処置がとられていますのでダウンロード後の不正な漏えいを防げます。 添付ファイルは、メール本文と別にクラウド上の暗号化サーバーに送信されるため、アップロード時にDLPでチェックが可能です。 添付ファイルを「閲覧専用」にすることで、そもそも相手方にファイルを渡さないで見せることができます。 パスワードのかかっているファイルは、パスワードを持っているすべての人が解凍できます。コンテンツセキュリティでは、パスワードではなく多要素認証でユーザーを確認しますので、アクセスを指定したユーザーに限定できます。 ダウンロードさせる場合でもDRM保護の場合は、PDFやマイクロソフトオフィスのファイル形式であるため、ウイルス防止ソフトでもチェック可能です。しかも、パスワードによる暗号化と違って、不正にファイルを再共有して情報を漏えいすることはできません。 すべての閲覧、ダウンロード、ファイルのオープンを監視・記録しているため送信後の管理・追跡が可能です。 送信後もファイルを閲覧停止やアクセス停止にすることができます。 このように、コンテンツセキュリティはPPAPに比べセキュリティを向上しながら送信者と受信者の利便性を向上できます。脱PPAPに是非、コンテンツセキュリティの導入を検討してみてください。