Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

コロナ禍のインサイダー脅威

考えてみた。

北米の雇用形態は日本とは違うので、警戒レベルは違うのかと思いますが、在宅勤務の拡大によってBYOD問題やシャドーITなどのグレーゾーンが拡大しているのは日本も同じ状況かと思いますので、インサイダーという視点を企業も意識しておく必要がある事を、この記事を読んで感じました。

www.darkreading.com

特に2020年3月のCOVID-19の発生以来、脅威の状況は拡大し、多様化しています。現在、世界の労働力はほとんど離れており、自宅だけでなく、ほぼどこからでも働くことができます。電子メールフィッシング攻撃や従業員のVPN資格情報を標的とするボイスフィッシング攻撃などのエクスプロイトに対するセキュリティ意識の欠如は、コストがかかる可能性があります。

雇用主に対する労働者の忠誠心の低下と変化、および従業員の解約率の上昇も、灰色の領域を拡大します。例としては、意図しない不正行為やリソースの誤用、セキュリティの脆弱性の無視、会社のポリシーへの違反、盗難などがあります。WaymoとUberの間の2018年の企業秘密紛争は、従業員が退職するときに雇用主が知的財産(IP)を保護する際に直面する大きなリスクを強調しています。

すべてのグレーエリアのケースが壊滅的な損失をもたらすわけではありませんが、全体としてすぐに非常にコストがかかる可能性があります。被害を受けた企業からの言及はめったになく、レーダーの下で発生する小さなケースが増えています。危険なのは、灰色の領域での過失や悪意のある慣行が、承認や行動なしに広く受け入れられるようになることです。

(DARK Reading記事より引用)※機械翻訳

 

キタきつねの所感

大事そうな所にアンダーラインを引いてみると、かなり多くなっています。つまりこの記事が(私にとって)良記事である事を示唆しています。

この記事を読んで、普段から感じているモヤモヤとした事が、きちんと文章となって出された(そうそう!)という感覚に陥りました。

※英語記事ではありますが、(内部不正系に興味があれば)Google先生などの力を借りて全文を読まれる事をお勧めします。Dark Readingの記事はGoogle先生の翻訳でも怪しげな日本語になる事はあまりなく、普通に読めます。

 

前段の「労働者の忠誠心の低下と変化」は日本でも現在進行形の課題だと思います。航空会社、レストラン等の接客業などコロナ禍の影響で職を失った方も多いかと思います。テレワークをしている従業員の中にも、業務とは関係の無い事をやっている(サボっている)従業員も結構いるでしょうし、研修も満足に受けられない新入社員や給与が減らされた従業員は、裏で転職活動に精を出しているかも知れません。

そろそろ私もやった方が良いのだろうか・・・・

新たな環境の中で、従業員は普段とは違う行動を取る可能性が高い、これは過失か悪意かは別にしてインシデント(ヒヤリ・ハット)要因になっていく可能性を強く感じます。

あるいはこの位はいいや・・・と、会社ポリシーへの違反にあまり抵抗感が無くなる事によって、社内ルール禁止されている行為が、既に普通の事となっている可能性は高いのです。

例えば私物USBを使った機微なデータの取扱いや、衆人環境にある喫茶店でのビデオ会議(※稀ですが見かけた事が何度かあります)といった”グレーゾーン”領域は確実に拡大している気がします。

 

記事では、この時期だからこそ、改めて(新しい環境のリスクに応じた)従業員教育をすべきであると提言しています。これはまったく同感です。

会社の知的財産を保護する秘密保持契約の厳格な強化に加えて、従業員は前の雇用主からの機密情報を保持することは違法であることを理解する必要があります。従業員の意識と訓練は、職場の倫理基準に関する従業員の態度を変える重要な要素であり、雇用主は彼らが説教することを実践する準備をしなければなりません。

(DARK Reading記事より引用)※機械翻訳

 

記事では、退職者が退職の際に企業の知的財産を持ち出してしまう、という点についても注意喚起しています。

先日も積水化学で内部不正(産業スパイ)事件が発生して大きな騒ぎとなりましたが、秘密保持について、あるいは就業規則について、従来通り年1回で・・・という定期的な行事として惰性で行うのではなく改めて従業員に教育・啓蒙しておくべきだと思います。

foxsecurity.hatenablog.com

 

この件とは直接の関係は無いのかと思いますが、積水化学の元社員は”ファーウェイ(Huawei)”に再就職していた様です。(※10/16に退社)

business.nikkei.com

潮州三環に流出した積水化学の機密情報スマートフォンのディスプレイに使用される素材「導電性微粒子」でした。最終的な転職先が、潮州三環の得意先でもあった可能性がある、スマホを作っているファーウェイ、恐らく関係は無いのでしょうが、色々と考えさせられるものがあります。

 

記事に戻りますと、転職者を受け入れる企業が気を付けるべき事として以下の様な事を挙げています。日本の企業も、転職者が持つ以前の会社の機密情報に飛びついて目先の利益を得る事を狙うのではなく、将来的な企業への影響をしっかり考えて倫理的な行動をとる事が重要なのかと思います。

たとえそれが短期的にあなたに利益をもたらす可能性のある以前の雇用主からの情報を新入社員が共有することを拒否することを意味するとしても、会社のリーダーシップはこれらの倫理原則を一貫して支持するためにリソースを捧げることをお勧めします。

(DARK Reading記事より引用)※機械翻訳

 

いずれによせ、コロナ禍で従業員が働く環境は大きく変化してきており、企業のセキュリティ体制、従業員に対する教育なども、変化に合わせて見直すべき時期に来ているのではないでしょうか。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ホワイト企業~ブラック企業のイラスト(グレー企業3)

 

更新履歴

  • 2020年10月22日 AM(予約投稿)