技術流出の防止に向けた、効果的な情報管理とアクセスコントロールの方法とは？

技術流出の問題が、経済安全保障の観点等から注目を集めています。

サイバー空間は常に様々な脅威に晒されています。日本の保有する先端技術の流出を防ぐため、警察では積極的なアウトリーチ活動を続けています^※1。また、2024年5月には経済安全保障上、重要な情報へのアクセスを国が信頼性を確認した人に限定する「セキュリティ・クリアランス」制度の創設に向けた法律が可決され、さらに取引先のセキュリティレベルを外部から確認できる「サイバー攻撃対応力の格付け制度」の導入が2025年度を目標に検討されるなど、技術流出を阻止しようとする政府の取り組みが加速しています。

このような、技術情報をはじめとする秘密情報を保護・管理するための指針となるのが、経済産業省「秘密情報の保護ハンドブック ～企業価値向上に向けて～」^※2 です。本コラムでは、本資料を参考にしながら、企業の保有する技術情報の漏えいを防ぐ方法をご紹介します。

技術流出が起きる原因とは

４つの漏えいルート

秘密情報が漏えいするルートは大別すると下記の４つに分類されます。

• 従業員等
  典型的には自社従業員が該当しますが、役員や派遣労働者、委託先従業員、実習生などもこれに含まれます。また、先端技術を保有するアカデミアにおいては教員や研究者が従業員等に該当します。
• 退職者等
  典型的には自社を定年退職・中途退職した者が該当しますが、契約期間や実習期間が満了した派遣労働者や実習生などもこれに含まれます。
• 外部者
  例えば工場への不法侵入者や自社サーバへの不正アクセス行為者が該当します。また、悪意を持った侵入者だけでなく、自社に立ち入りを許されている外部者も含まれます。
• 取引先
  委託先（委託元）、外注先（外注元）、共同研究相手、M&Aにおける交渉相手など、自社の秘密情報を共有する相手を指します。

３つのセキュリティリスク

技術流出の原因となるサイバーセキュリティリスクは大別すると下記の３つに分類されます。

• 内部不正による漏えい
  従業員、あるいは退職者による持ち出しがこれに該当します。特に先端技術の流出においては、産業スパイによる漏えいについて警戒が必要です。
  内部不正の事例として、産業技術総合研究所（以下、産総研）で発生した情報漏えい事件が挙げられます。この事件では、2023年6月に産総研の主任研究員が自身の研究内容であるフッ素化合物に関する情報を中国企業に漏洩させたとして、不正競争防止法違反の容疑で逮捕されました。なお、研究データを受け取った企業は約1週間後に中国で特許申請を行い、2年後に特許を取得しています。（詳しくはこちら）
• 外部からのサイバー攻撃による流出
  外部者によるサイバー攻撃や不正アクセスによって、直接的に情報を窃取されることによる流出です。標的型サイバー攻撃やランサムウェア攻撃、ゼロデイ攻撃、サプライチェーン攻撃などの様々な手法により、ファイルサーバや端末内に保存されているデータが盗み出される可能性があります。
  サイバー攻撃の事例として、三菱電機への不正アクセスによる漏えい事件が挙げられます。三菱電機は2020年1月に中国の関係会社から発生したサプライチェーン攻撃により社内ネットワークが不正アクセス被害を受けていたことを公表しました。流出したファイルの中には、個人情報や機密情報だけでなく、防衛関連の機微情報（装備品性能や研究開発内容等）も含まれていました。この事件について、内閣官房関係者は「安全保障に関する情報がサイバー攻撃により漏洩したことが公に認められた初のケース」とコメントしています。^※3
• 取引先からの漏えい
  取引先からの情報漏洩には、取引先自体が悪意を持って情報漏洩を行うケースと、取引先の情報管理が不十分なために内部不正や外部からの攻撃によって漏洩が発生するケースが考えられます。前者の例として、外国の大学や企業が合法的な経済・学術活動を装い、共同研究を持ちかけることで先端技術を狙う手法が挙げられます。また後者への対策として、取引先に対して自社が必要と考える対策を実施させるための契約が求められますが、実際には多数の取引先を管理するのは困難です。そこで、先述のサイバー攻撃対応力の格付け制度が導入されることで、取引先の選定やセキュリティ対策の見直しを促すことが可能となり、サプライチェーン全体のセキュリティレベル向上も期待されます。

保有する情報の把握・評価・分類

企業が具体的な情報漏えい対策を実施する前に行うべきは、自社が保有する秘密情報の把握と評価、分類です。これらを実施した上で、自社に必要な対策を決定する必要があります。

Step1. 保有する情報の把握

まず必要なのは、自社が保有している情報資産を洗い出し、社内の情報を把握することです。秘密として保護が必要な技術情報の例として、研究開発情報（実験データ、試作品情報等）、製造関連情報（製品図面、製品テストデータ、製造プロセス、工場設備・レイアウト）などが挙げられます。

なお、技術情報以外に顧客情報や市場関連情報、価格情報などの営業情報も、漏洩させてはいけない秘密情報として管理が必要です。その他、他社から預かった情報等も保護の対象にする必要があります。（漏洩時に訴えられないようにするため）

Step2. 保有する情報の評価、秘密情報の決定

次に、①で洗い出した情報がどのくらい重要な情報か見極め、秘密とする情報を決定します。評価の指標として、「経済的価値」「情報管理の必要性・程度」「漏えい時の被害（経済的損害、競争力や社会的信用の低下等）」「競合他社から見た有用性」「契約等で他社から預かった情報か否か」などが考えられます。そして、その評価を基準に情報を階層化し、保護に値するものを決定します。

ただし、技術情報の場合、製品を市場に流通させてしまえば用いられている技術が容易に分析可能となる場合もあるため、そのような情報は秘密情報として保護するのではなく、特許権などの知的財産権として権利化した方が活用しやすい可能性があります。このような事情を考慮しながら秘密情報として保護する情報を決定することが必要です。

Step3. 情報を重要度に応じて分類し、対策を決定

最後に、②で決定した秘密情報を内容や評価の高低に応じて分類し、その分類ごとに必要な対策をメリハリをつけて選択することが重要です。基本的には②で行った評価の高い情報ほど厳格に対策する必要がありますが、同程度の評価でも業務上どのように使われているか（外部に持ち出す必要があるか、社外組織と共有する必要があるか…など）によって、別の対策を講じる場合もあります。

情報漏えい対策の選択

前項の通り保有する情報資産の分類を行った後は、必要な対策を決定、実行する必要があります。先述の「秘密情報の保護ハンドブック」では、漏えい要因を考慮した５つの「対策の目的」を設定し、それに応じた対策が必要としています。自社に存在する漏えいルート、考えられるセキュリティリスクをもとに、具体的な対策を実行していきます。

1. 接近の制御
   秘密情報に近寄りにくくするための対策です。例えばフォルダに対してアクセス権を設定したり、ネットワークを分離したりすることで、実務に携わる人以外が情報に近付くことを禁じます。
   【例：アクセス権の設定、秘密情報を保存したPCを不必要にネットに繋がない、構内ルートの制限、施錠管理、フォルダ分離、ペーパーレス化、ファイアウォールの導入　等】
2. 持出し困難化
   秘密情報の持ち出しを困難にするための対策です。例えばUSB等の外部デバイスの利用に制限をかけることで、実務に携わる人による持ち出しも防止します。
   【例：私用USBメモリの利用・持込み禁止、会議資料等の回収、電子データの暗号化、外部へのアップロード制限　等】
3. 視認性の確保
   漏洩が見つかりやすい環境を作るための対策です。例えばログの監視等を行うことで、心理的な抑止を図ります。
   【例：座席配置・レイアウトの工夫、防犯カメラの設置、職場の整理整頓、関係者以外立入禁止看板（窓口明確化）、PCログの記録、作業の記録（録画等）　等）】
4. 秘密情報に対する認識向上
   秘密情報だと思わなかった！という事態を招かないための対策です。例えば秘密情報にはマル秘マークを付け明示することで、不正行為を行った者が言い逃れる余地を無くします。
   【例：マル秘表示、ルールの策定・周知、秘密保持契約の締結、無断持出禁止の張り紙、研修の実施　等】
5. 信頼関係の維持・向上等
   社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策です。従業員が内部不正を行うきっかけの一つには、組織に対する不満が挙げられます。それを生じさせないためには、積極的にコミュニケーションを取ることで、給与や待遇に対する不満を解消してやることが重要になります。
   【例：ワーク・ライフ・バランスの推進、コミュニケーションの促進、社内表彰、漏えい事例の周知　等】

IRMによるデータセキュリティとは

複数のセキュリティリスクに対応できるIRM

企業は自社の保有する秘密情報を把握した上で、漏えいルートごとに具体的な対策を施していくことが必要となります。しかし、多くのセキュリティシステムを一度に導入するのは困難であるため、まずは複数のセキュリティリスクに対して有効な共通対策を行うことが効率的な進め方となります。その上で、弊社がお奨めしているのがIRMによるデータセキュリティです。

IRMとはInformation Rights Managementの略称で、データの暗号化と権限管理を行うものです。IRMで暗号化されたデータは、アクセスするたびにサーバ側でユーザ認証と権限確認が行われます。これにより、アクセスが許可された者だけが必要最小限の権限でデータにアクセスできるようになります。前項の②持ち出し困難化と④秘密情報の認識向上を実現するシステムです。

IRMが複数のリスクに対応できる理由は”データそのもの”が暗号化保護される点です。先述の通り、漏えいルートは従業員や外部者、取引先など様々ありますが、どのルートであってもデータが漏えいするという点に違いはありません。そのため、データ自体にIRMで保護をかけることが、複数のリスクに対して同時に有効性のある対策となります。

IRMの課題

IRMの課題として、制御できるアプリケーションが限定的であることが多く、保護したいデータが暗号化対象外となってしまうことがあります。特に製造業で利用されるCADデータ等は暗号化できないことが多く、技術流出を怖れ、取引先や海外拠点に設計データ等を送ることができないという企業も多くあります。また、産業スパイ等に狙われる先端技術を保護できないことも問題となります。

純国産IRM『DataClasys』で技術流出に対策を

このような課題を解決できるのが弊社のIRMソリューション『DataClasys（データクレシス）』です。

DataClasysは拡張子に依存せず、あらゆるファイルを暗号化することが可能です。そのため、CADデータや大容量の動画データなどもすべて漏らさず保護することができます。また、純国産・完全自社開発のセキュリティソフトなので安心してお使いいただけます。

日本の保有する先端技術の流出を食い止めるためには、IRMのようなデータセキュリティが必要になります。その際は是非、DataClasysをご検討ください。

カタログ・資料ダウンロードはこちら

参考

※1 技術流出の防止に向けて | 警察庁

※2 秘密情報の保護ハンドブック ～企業価値向上に向けて～ | 経済産業省 2024年2月（最終改訂：2024年2月）

※3 流出ファイル59件が安全保障に影響か　三菱電機へのサイバー攻撃 | 朝日新聞デジタル 2021年12月24日