はじめに
この記事では、産業スパイがどのようにあなたの組織を攻撃してくるのかを実例を挙げて説明し、防止策について解説します。企業秘密を安全に守るために、どのような対策を講じるべきか、ご理解いただけると思います。
*この記事はEkran System 社の公式ブログを翻訳したものです。原文はこちら(内容を一部変更しています)。
産業スパイとは?
正しく収集し、分析した競合他社の情報は、市場シェア争いに有利に働きます。しかし、競合他社や政府は時に、それ以上のものを求めることがあります。
競合他社や政府は、重要な情報を得るために、私たちが考えている頻度よりも多くのエージェントを各国へ送り込んでいます。NBCニュースによると、「FBIは平均12時間ごとに中国関連の防諜調査を新たに開始している」と言われています。
National Counterintelligence and Security Center(国家防諜安全保障センター/アメリカ)のディレクターであるM氏によると、米国における中国のスパイ活動に割く年間コストは約6000億ドルと推定されます。
産業スパイは、市場競争において違法に優位に立つために、企業のデータを収集しようとします。その中には、企業秘密の漏洩事故や知的財産の窃盗も含まれます。
産業スパイは2種類に分類されると言われますが、分類の定義は、未だに曖昧な点もあります。産業スパイに関する著書を発行している Wagner氏は、産業スパイを以下のように分類しています。一つは産業スパイそのものであり、産業スパイや商業スパイとも呼ばれるもの。もう一つは経済スパイと呼ばれるものです。主な違いは、「誰がスパイの管理者を務めるか」にあります。
産業スパイは民間企業によって管理されて利益を得るのに対して、経済スパイは外国の国家によって管理されるものです。
ここに、産業スパイの分類を曖昧にするポイントがあります。スパイ行為は、多くの場合、政府と企業の利害が重なることがあります。その結果、この2種類のスパイの区別がつきにくい状況が生まれます。従ってこの記事では、経済スパイの特殊性を強調したい場合を除いて、「産業スパイ」を総称として使用します。
では、産業スパイのターゲットになる危険性が最も高いのは「誰」かを見てみましょう。
産業スパイのターゲットとは
特に注意すべき業界は、コンピュータ・ハードウェア製造、IT、自動車、エネルギー、航空宇宙、化学など、研究・開発に大きく依存している業界です。研究・開発には革新的なソリューションや技術が含まれることが多く、その開発にはコストがかかるため、スパイの格好のターゲットとなるのです。
また、小売・金融・公的機関(官公庁、行政法人、自治体等)は競争が激しく、サイバーセキュリティへの投資不足に悩まされることが多いため、この分野にも産業スパイがよく見受けられます。
特に、以下のデータの保護に注意してください。
- 営業秘密 営業秘密とは、一般に、既存の製品や開発中の製品に関する機密情報を意味します。この情報は、競合他社が市場競争の中で優位に立つために役立つ可能性があります。
- 顧客情報 競合他社に顧客に関するデータが奪われ、多方面で悪用される可能性があります。また、不正に取得したデータを流出させて、会社の評判を落とすというシナリオも考えられます。
- 財務情報 盗んだ財務情報を利用して、競合他社は顧客やパートナーにより良い取引を提案したり、入札に勝つための金額設定を設けたり、さらには自社の大切な従業員に対してより良い条件を提示して引き抜こうとしたりします。
- マーケティング情報 競合他社はスパイを潜り込ませた企業のマーケティングキャンペーンに対してタイムリーな対策を用意することが出来、その効果を失わせることができます。
産業スパイの手口
産業スパイを防ぐ方法をご案内する前に、まずは産業スパイ行為がどのような方法で行われているのかを確認していきましょう。企業のセキュリティを突破し、データを不正に入手するための様々な手法は、以下の通りです。
サイバー攻撃
サイバー攻撃とは、組織のコンピューターシステムに不正にアクセスし、情報を盗んで危険にさらしたり、内部データを変更したり、破壊したりしようとする敵対行為です。ハッカーや、その他外部からの攻撃者は、産業スパイに関与していることが多いと言われています。彼らは、既知の脆弱性や発見されたばかりの脆弱性(ゼロデイ攻撃)を悪用して、組織の機密データに不正にアクセスします。
サイバー攻撃のリスクは、企業にとってよく知られたものです。しかし、リスクを知っていても、企業が必要な対策を講じているとは限りません。いまだにサイバースパイへの防止策を講じていない企業も複数存在します。
多くの企業は最新のマルウェア対策とネットワーク・セキュリティを備えていますが、インシデント対応計画、ストレージ・デバイスの管理、セキュリティポリシーまで準備をしている企業はごくわずかです。
産業スパイが内部に存在する場合は、外部からサイバー攻撃を仕掛ける前に、既に内部から物理的にサイバー攻撃を支援するようなアクセスが行われている事が多くあります。このように、内部脅威とサイバー脅威が連動して発生する場合は、高度なマルウェア対策やファイアウォールでも、対策は十分ではありません。
インサイダー(組織内部の人間)の脅威
企業や国家間で行われる産業スパイ行為では、悪意のあるインサイダーが頻繁に利用されています。競合他社は、敵対する組織にスパイを送り込みます。送り込まれた産業スパイは、敵対する組織の中で正社員として振る舞いながら、実際の雇用主のために密かに情報収集を行います。
他にも、競合他社は特権的なアクセス権を持つ従業員に接近し、企業秘密やその他の貴重な情報に関する取引を求める事もあります。そして、金銭を提供したり、脅迫して協力させたりします。
いずれの場合でも、こうした従業員の違法行為は、ハッキング攻撃よりもはるかに発見しにくいため、悪意のあるインサイダーを使った産業スパイ活動は安全な手段と認識されています。
不注意を狙う産業スパイ
従業員の中には、不注意に産業スパイ行為を実行してしまったり、産業スパイを援助してしまったりすることがあります。例えば、産業スパイはソーシャルエンジニアリングの手法を利用して従業員から秘密情報を収集したり、認証情報を引き出したりすることができます。
他にも、産業スパイが廊下に置いたUSBメモリを好奇心旺盛な従業員が拾ってしまったら、どうなるでしょう。万が一組織のコンピュータに挿入してしまえば、大規模なデータ漏洩が発生し、会社に多大な損害を与える可能性があります。
元従業員もまた、危険な存在です。会社への仕返しを考えている不満を持った従業員、あるいは単に信頼できる内部関係者が競合他社に移る場合、組織の機密データを簡単に持ち出してしまう可能性があります。
産業スパイは、動きやすくなっている
コロナウイルスが大流行し、企業がリモートワークに切り替えざるを得なくなったことで、産業スパイはさらに動きやすくなっています。在宅勤務は、従業員に柔軟な勤務形態を与える一方で、新たなサイバーセキュリティのリスクをもたらしています。
なぜ、産業スパイは気づかれないことが多いのか?
皆様の中にも、センセーショナルな産業スパイ事件のニュースを耳にしたことがある方もいるかもしれません。しかし、その実態は氷山の一角に過ぎないと言われています。産業スパイは発見するのが難しく、立証するのはさらに難しいからです。
多くの企業が産業スパイの事例を報告しないのには、いくつかの理由があります。
- 産業スパイを特定することは困難 内部関係者の悪意のある行動のほとんどは、通常の日常業務と見分けがつきません。機密データにアクセスできる最も重要な権限を持った従業員でさえ、長期間に渡って気づかれることなく二重スパイをしている可能性がある程です。
- 加害者の責任を追及することが困難 企業秘密と産業スパイに関する法律は、世界各国、また各地で異なります。国際的なスパイを発見した場合、海外の企業や政府の責任を追及するのは非常に難しい場合があります。また、加害者が国内であっても、訴訟を継続することが不可能なほど、法的手続きが長引く可能性があります。
- 株価に悪影響を及ぼす可能性 セキュリティが破られたことが公になった場合、自社の株価が下がる可能性があります。そのようなマイナスイメージは、投資家や顧客からの信頼も損なう可能性があります。
- ITコンプライアンス要件違反とみなされる可能性 企業は、顧客より預かっている機密データに対するセキュリティを確保する責任があります。国や業界によっては、このデータが産業スパイによって漏えいしたり盗まれたりすると、会社に罰金が課されます。つまり、産業スパイに遭った場合にも罰せられる可能性があるのです。
これらの要因により、企業はスパイ行為を受けたことを公表できず、内部調査を行わざるを得なくなります。つまり、産業スパイそのものに対する効果的な予防策があれば、最良の対処方法と言えます。
産業スパイ 7つの事例
アメリカ C社
2021年4月、アメリカの清涼飲料水販売業C社の元社員Y氏(博士)がビスフェノールA(BPA)に関連する企業秘密を盗んだとして有罪判決を受けました。彼女は、陰謀、電信詐欺、経済スパイの罪に問われました。C社のセキュリティ対策を回避するため、博士は携帯電話で秘密文書を撮影していました。
アメリカ化学会が発行する週刊ニュースマガジンに掲載された記事によると、この中国人化学者はC社をはじめとする化学会社7社から1億2千万ドルという途方もない価値の情報を盗み出しました。博士は、政府から資金援助を受けている中国のプラスチック製造会社に機密データを売るつもりだったと言われています。
アメリカ M社
農業系ビジネスの大手で知られるM社(現B社)から企業秘密を盗んだとして、中国人科学者が起訴されました。2022年1月、X氏は経済スパイを行おうとした罪を認めました。彼が中国政府に売却しようとしていた機密情報には、農家の圃場(ぼじょう)データ収集と生産性向上を支援するソフトウェア・アルゴリズムが含まれていました。
M社でイメージングサイエンティストとして働いていたX氏は、機密データをメモリーカードに転送し、窃盗に成功しました。2022年4月、彼は2年以上の禁固刑と15万ドルの罰金を言い渡されました。
アメリカ G社
2021年11月に有罪判決を受けたX氏のケースは、産業スパイのもう一つの側面となります。この中国の諜報員は、世界最大の航空エンジンメーカーであるG社が持つ独自の航空機ファン技術にアクセスするための作戦を立てました。
4年前、X氏はG社の社員へ中国の大学での講演依頼を行いました。その発表の際、従業員の端末に対してフラッシュ・ドライブの技術的問題を「修正」すると言って、マルウェアをインストールしたり、ハードディスクのクローンを作ったりしました。また、その後も従業員に対して情報の開示を要求しました。これらの行為がが発覚し、X氏は逮捕されました。
アメリカ A社
2020年10月、多国籍テクノロジー企業であるA社の不特定多数の顧客に、「あなたのメールアドレスが A社の従業員によって第三者に開示された」という内容の電子メールが届きました。A社は当該従業員を解雇したと主張しています。
世界中から同様のメールを受け取ったという報告がなされていますが、一体どれだけの顧客が影響を受けたのかについて、詳細はほとんど明らかにされていません。この問題が発表された際、A社はメールアドレスが流出されてしまった被害者の情報を明らかにしませんでした。
アメリカ テキサス州 T社
大手乗用車メーカーであるT社の従業員が、ロシア人のK氏から100万ドルを提示され、自動車会社のデータを漏洩した事件です。K氏は、T社が合同で建設しているリチウムイオン電池生産工場に勤める従業員に、メールやUSBドライブを介して同社のネットワークにマルウェアを感染させ、機密データを採取するよう依頼しました。その後、K氏はT社に金銭を要求し、同社が支払わない場合はデータを公開すると脅していました。この陰謀は被害が出る前に阻止され、K氏は2020年8月に逮捕されました。
これは不思議なことに、T社にとって初めての産業スパイ事件ではありませんでした。その2年前にも事件が起きています。T社の元従業員であるT氏は、ネバダ州のリチウムイオン電池生産工場で生産されたとするバッテリーの写真をツイートしました。T社の内部調査により、T社の名誉を傷つけるデータをリークしたのはT氏の責任であると判明しました。動機は未だ不明ですが、彼がスパイ行為をしていたことは間違いないと言われています。
アメリカ G社
海外メディアが大手インターネットサービス業G社に関する内部文書を公開しました。そこには、G社は2018年から2020年にかけて、ユーザーデータの悪用や顧客に対するスパイ行為で約80人の従業員を解雇したと記載されていました。中には個人情報を第三者と共有する者もいたそうです。このうち36人の社員は、2020年にセキュリティ上の懸念から解雇されています。
G社が産業スパイの被害に遭ったという明確な証拠はありませんが、リスクはありました。従業員に対するセキュリティ関連の申し立ての86%に、機密データを外部に転送するなどのデータの誤操作が含まれていたためです。これらの事例が産業スパイに関わるかどうかは別として、同様のデータ漏洩は企業ブランドに大きなダメージを与える可能性があります。
スウェーデン V社・S社
産業スパイは、スウェーデンでも起こっています。
D氏は、スウェーデンの2社(乗用車メーカーV社、重工業会社S社)に関する機密情報をロシアの外交官に提供した罪で起訴されました。V社とS社のコンサルタントとして活動していたD氏は、ロシア大使館の職員と定期的に会っていました。この男性は、2019年にストックホルムのレストランで行われた会合の際に拘束されました。
裁判所は、「D氏は、提供した情報がロシアの利益になることを十分認識していた」と発表しました。
産業スパイを検知・防止するための7つの方法
マルウェア対策は、産業スパイとの戦いにおいて1つの対策に過ぎません。組織の全体的なセキュリティ体制を強化するために、より多くの対策を講じる必要があります。以下に示す産業スパイ防止策を参考に、産業スパイの検出と防止方法についてご確認ください。
1.リスクアセスメントを実施
まずは、産業スパイが狙うターゲットの中で、潜在的なものを見つける必要があります。そして、 自社が保有する営業秘密やその他の貴重なデータが、競合他社にとってどの程度重要なものであるかを知る必要があります。営業秘密の魅力は、手に入れることが出来れば、既に市場に出回っている製品や競合他社の既知の資産と比較することで対策ができる所にあります。
最も価値のあるデータを特定したら、それを欲しがる可能性のある人物を推測することができるるようになります。考えられる脅威と潜在的な攻撃ベクトルを知ることで、現在実施している防御策の脆弱性を発見することができます。
リスクアセスメントは、セキュリティ・アプローチの鍵であり、組織のセキュリティ戦略の一部である必要があります。また、インシデントへの対応計画も策定しておく必要があります。これにより、データ侵害が発生した場合に迅速かつ効率的な対応を確保し、ビジネスへの影響を最小限に抑えることができます。
2.インフラの安全性を確保する
重要な資産を格納するインフラの周囲に安全な境界線を確立することは、サイバーセキュリティの柱の一つです。レイヤーアプローチは、多様なレベルで起こりうる脅威に対して、より複雑なソリューションを提供し、セキュリティへの侵入をより困難にすることが出来ます。貴重なデータを企業ネットワークから分離し、アクセスを制限するようにしましょう。境界にあるルーターを保護し、スクリーンサブネットを確立してください。
さらに、企業ネットワーク内にゼロ・トラストモデルを導入することも検討してください。ユーザーが重要なリソースにアクセスしようとするたびに、ユーザーの身元を確認することで、セキュリティレベルが大幅に向上します。また、ゼロトラスト・モデルでは、特権的なアクセスを制限し、デバイスを認証することの重要性も強調されています。このアプローチを実施するためのツールの1つとして、2要素認証があります。
ゼロ・トラストモデルを採用した場合でも、ファイアウォールやアンチウイルス・ソフトウェアなど、従来の企業向けサイバーセキュリティ・ソフトウェアを使用すべきであることを忘れないでください。マルチレベルのセキュリティと組み合わせることで、ハッキングやマルウェアを使った産業スパイ行為に対する効果的な防御となります。
3.効果的なセキュリティポリシーの確立
産業スパイのリスクを最小限に抑えるためのルールを確立し、そのルールを明確に記述したサイバーセキュリティ・ポリシーを作成します。
ルールは、特定したリスクに基づいて作成します。サイバーセキュリティ・ポリシーを作成する際には、以下のトピックをカバーするルールを含めることを検討してください。
- ネットワーク・セキュリティ コンピュータ・ネットワークへのアクセスに関するガイドラインを含め、ネットワーク・セキュリティ環境のアーキテクチャを説明し、その中でセキュリティ・ルールがどのように実装されるかを説明する。
- セキュリティ意識向上 セキュリティ対策の手順や仕組みについて、従業員に周知、説明する。
- 従業員の受け入れと解雇 セキュリティの観点から、従業員の受け入れと解雇を適切に行うための手順を定義する。
- パスワード管理 組織内でどのようにパスワードを作成し、保存し、管理しなければならないかについて、厳格なルールを確立する。
- アクセス管理 一般ユーザー、特権ユーザー、リモートユーザーが様々なカテゴリのデータやシステムにアクセスできるようにするための手順を規定する。
- 監査と説明責任 システムの活動をどのように監視し、分析し、調査するかについて説明する。
- インシデント対応 サイバーセキュリティのインシデントが検出された場合に、従業員がどのような行動を取るかについて計画を立案する。
すべての従業員と第三者が、作成したセキュリティ・ルールを理解し、それに従っていることを確認する必要があります。
参考:NISTのセキュリティ・ガイドライン(英語のページ)は、組織の種類にもよりますが、NIST 800-53、FISMA、HIPAA、PCI DSSなどに見られるセキュリティ要件へ対応する際に役立ちます。
4.従業員をセキュリティ的に考えてみる
社内を健全かつ安全な環境として維持するためには、一緒に働く従業員の存在が重要です。意図的であろうとなかろうと、産業スパイに加担するのは組織のスタッフであることが多いからです。管理者は人材に対する自らの信頼を確かなものにし、人に関わるあらゆるリスクを排除する必要があります。
サイバーセキュリティのリスクについて従業員を教育
従業員は、最強の防御になり得ます。そのためには、従業員のサイバーセキュリティに対する意識を継続的に向上させることが重要です。
会社が直面する可能性のある脅威と、それがビジネスと従業員双方に及ぼす影響について、従業員に伝えてください。従業員が、組織のサイバーセキュリティにおいて自分たちが果たす役割があり、その改善に貢献できる事を認識することで、セキュリティレベルは大きく向上します。
特に、定期的にトレーニングセッションを開催し、従業員が日々のワークフローで使用できる簡単なセキュリティ慣行について教えてください。ソーシャル・エンジニアリングから身を守り、ビジネスの情報漏えいを回避するための実践から始めるとよいでしょう。
従業員のバックグラウンドチェックを行う
人を雇う前に、人事部門は通常、バックグラウンドチェックを行います。これにより、組織内にスパイが入り込むリスクを最小限に抑えることができます。
特に特権的なアクセス権を持つ従業員については、産業スパイにならないように、時々こうしたチェックを繰り返すとよいでしょう。生活水準の急激な上昇、予期せぬ旅行、借金の返済などは、潜在的な心配の種となります。
適切な解雇手続きを作成
多くの場合、産業スパイ行為は従業員が退職する前の数週間、あるいは解雇後に行われます。これは、解雇された従業員の資格情報が有効なまま残っており、誰にも気づかれずに組織の機密データに自由にアクセスできるために起こることが多いです。
元従業員による産業スパイ行為の可能性から会社を守るために、適切な従業員解雇の手順を作成し、情報漏洩対策を実施する必要があります。
5.従業員の行動を監視
ユーザーの行動を監視することは、産業スパイを防止するための最も一般的で効果的な対策です。従業員が意図的に悪意を持って行動しているのか、それともうっかりしていたのかは、従業員の行動を監視しない限り分かりません。
特に、システム管理者や上層部といった特権的なユーザーを監視することは重要です。彼らは、通常の業務を行いながら簡単に情報を収集し、突出した行動をしたとしてもミスとして説明することができるからです。
従業員のモニタリングによって、すべての従業員の行動が完全に可視化されるため、データの盗難を検知し、タイムリーに対応することができます。万が一、サイバーセキュリティの事故が発生した場合、その記録を調査に利用することができます。
Ekranは、産業スパイを含むインサイダーの脅威に対抗するために特別に設計された普遍的なインサイダーリスク管理プラットフォームです。Ekranを利用することで、アクセス権限のレベルに関係なく、エンドポイントで行われるすべてのユーザーの行動を監視することができます。これにより、システム管理者や、機密にアクセスできるすべてのユーザーの行動を監視することができるようになります。
Ekranは以下のようなユーザーの行動監視機能を提供しています。
- 操作画面の記録 YouTubeのようなプレーヤーでユーザーセッションを見ることができ、ユーザー名やIP等でセッション検索やフィルタをすることができます。取得した操作記録画像は、訪問したURL、入力したキーストローク、開いたアプリの名前など、テキストメタデータのレイヤーでインデックス化されます。
- 高度な検索機能 高度なセッション分析により、様々なパラメータでエピソードを検索することができます。
- USBデバイスの監視と管理 USBデバイスの接続を監視・管理します。カスタマイズ可能なルール、ブラックリスト、ホワイトリストに従って、USBデバイスを自動的に許可またはブロックします。
6. データアクセスの適切な管理
多くの企業は、重要なデータやインフラへのアクセス権を、デフォルトで全従業員に提供しています。この方法は便利かもしれませんが、安全とは言えません。
最小特権の原則を導入し、必要な場合を除き、すべてのデータへのアクセスを禁止することを検討してください。この原則は、業務遂行に不可欠な権限のみをユーザーに与えることを意味します。重要な情報へのアクセスは、それを本当に必要とする従業員にのみ提供します。
非特権ユーザーが時折機密情報を扱う必要がある場合は、1回限りのアクセス(ワンタイムパスワードなど)を提供するか、重要なリソースを扱う時間を制限します。重要なデータにアクセスできる人数を制限することで、競合他社がそのデータを入手するリスクを大幅に軽減することができます。
Ekranは上記の原則を容易に実現するために、以下の機能を提供できます。
- 特権ユーザーと一般ユーザーのアクセス権を管理する
- アクセス権を付与する期間を制限する
- パスワード管理の自動化と安全性の確保
7.信頼性の高いインシデント対応計画の策定
インシデントを検知した場合に、従業員が何をすべきかという計画を立ててください。インシデント対応計画(IRP)とは、検知したインシデントに対応する際に、誰が何をすべきかを記述したものです。厳格な手順を踏むことで、産業スパイによる被害を最小限に抑えることができます。
Ekranは、インシデントが発生した際にアラートを出すことが出来、リアルタイムに対応ができます。また、ユーザーの行動分析(UEBA)は、典型的なユーザーの行動を分析し、異常な行動をタイムリーに検出できるようにします。
疑わしいイベントを特定し、セキュリティチームに通知するため、セキュリティチームは直ちに対応を開始できます。アラートテンプレートのコレクションから選択することも、任意の疑わしいイベント(開いたURL、プロセス名、接続したUSBデバイスなど)に基づいたカスタムアラートルールを設定することも可能です。確認された行動に対して、Ekranはユーザーのブロックや警告メッセージの表示、疑わしいプロセスの終了、未承認のUSBデバイスのブロックなど、即座に対処が可能です。また、それらの対応結果は、レポートに出力ができます。
まとめ
産業スパイは貪欲さや市場競争で勝ちたいという動機から、敵対する企業や政府でさえも、違法なスパイ行為を手段として使用します。その結果、企業の評判に深刻なダメージを与え、成長の機会を阻害する可能性があります。
組織がビジネスを保護するためには、この記事でご説明したように、まず、自社のリスクを評価することから始め、強固なサイバーセキュリティ・ポリシーを策定し、それに従うようにしましょう。効果的な従業員管理や信頼性の高いインフラ防御と組み合わせることで、Ekranのような効率的なインサイダーリスク管理プラットフォームは、組織内で産業スパイが発生する可能性を減らすために役立ちます。
