退職する従業員によって、組織が情報漏えいのリスクにさらされる危険性はあるものだ。データの安全性を確保しながら、円滑に退職手続きを進めるにはどうすればよいのだろうか?

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

  • イメージ図

新型コロナウイルスの感染拡大は従業員による情報漏えいのリスクを大きく高めた。過去の金融危機においては、詐欺や不正行為の急増が見られたが、2020年はじめに起きた失業や混乱が、同様の結果を招いたと見て間違いないだろう。同時に、パンデミックに伴い導入されたリモートワークやクラウド基盤、あるいは、複雑化したサプライチェーンや提携関係により、企業はこれまで以上のリスクにさらされるようになった。

情報漏えいのリスクを適切に軽減しなければ、意図の有無に関わらず、退職していく従業員によって、企業は多大な金銭的損失や信用の低下を招く恐れがある。従業員による情報漏えいによる被害額は、2018年から2020年の間に31%急増し、およそ1,150万ドル(13億円相当)に達すると言われている。見落とされていることも少なくないが、退職手続きはセキュリティ戦略において重要な要素となる。

(退職する)従業員は信用に足るのか?

企業における攻撃対象は、外部の攻撃者を想定して考えられがちだ。しかし、従業員から攻撃を受けるケースもあるのだ。今や、クラウド上のアプリケーション、データベース、そのほかのネットワーク機器は、あらゆる機器であらゆる場所からアクセスされる。コロナ禍では生産性を維持するために必要であったが、適切な管理がなされていなければ、従業員がセキュリティポリシーを回避するリスクは高まる。

残念なことに、ある調査では、多くの企業(43%)において退職する従業員に対するデータ持ち出し禁止のポリシーさえ設けていなかった。さらに、英国では退職者のオフィス入館を無効化する企業が全体の47%、社用デバイスを回収するのはわずか62%に過ぎなかったという。

加えて別の調査では、退職前に社内の文書をダウンロード、保存、送信、あるいは持ち出した従業員は約半数(45%)に上った。これらは多くの場合、テクノロジー業界、金融サービス、コンサルティング業界でよく見られる。

なぜ退職者の情報統制が重要なのか?

退職者がデータを持ち出すのは、転職先に好印象を与えるためかもしれないし、何らかの恨みを晴らすためかもしれない。いずれにしても、組織に与える潜在的な影響は深刻だ。重大な情報漏えいが発生すると、以下のような問題が考えられる。

  • 調査、復旧、整理に要するコスト
  • 集団訴訟に対応する法的コスト
  • 規制当局からの罰金
  • ブランドや信用の毀損
  • 競争優位性の喪失

実際の事例として、信用組合の従業員が解雇された際に21GBの機密情報を廃棄したとして有罪となったものがある。この事例では、退職手続きとしてネットワークへのアクセスを停止するようIT部門に依頼があったにも関わらず、その手続きは完了されていなかった。その従業員は自身のユーザー名とパスワードを使って、約40分間、遠隔からファイルサーバーへアクセスできたのだ。不正侵入と文書の削除に対応するため、信用組合は1万ドル(113万円相当)のコストを要したとされる。

より安全な退職手続きを行うために

先述の信用組合の事例は、退職手続きが適切に行われていれば、より良い結果になっていたはずだ。意外に思うかもしれないが、これらの手続きは従業員が退職の意思を示す前、あるいは解雇される以前に準備を始めておく必要がある。いくつかヒントとなる事例を紹介する。

ポリシーを明確に伝える:約72%の従業員は、勤務中に作成したデータは自分自身に帰属すると考えているようだ。これには、顧客リストから製品の設計図まで、あらゆるデータが含まれる。ポリシーを文書化して説明し、知的財産の所有権に関する範囲について理解を深めてもらうことで、将来的に大きな問題に発展することを防げるだろう。入社手続きの際に説明するとともに、従業員がポリシーに違反した場合に何が起こるかを警告するべきだ。

継続的なモニタリングを実施する:悪意のある従業員が退職前に情報を盗もうとする場合、人事部へ退職の報告をする以前に、その作業に着手する公算が高い。そのため、企業は疑わしい活動を検出できるよう、継続的に監視可能なソリューションを導入しておく必要がある。ただし、各地の個人情報保護法や従業員の不信感や不安などにも考慮しなければならない。

ポリシーやプロセスを準備し、利用可能にしておく:退職手続きを円滑で効果的にするため、そのプロセスやワークフローを事前に設計しておくことを推奨する。入社時の手続きは、ほとんどの組織が備えている一方で、退職時については準備していない組織が多い。

以下のような手続きを検討してほしい。

  • すべてのアプリケーションやサービスで、アクセスを無効化し、パスワードをリセットする
  • オフィスへの入館権限を無効化する
  • 疑わしい行動をしていないか確認するための退職時面接を実施する
  • 不審な行動を示すログがないか、監視ツールを最終確認する
  • 疑わしい行動が検出されたら、人事・法務部門へ報告する
  • すべての社用デバイスを回収する
  • Eメールの転送とファイルの共有を禁止する
  • ライセンスを別のユーザーに割り当てる

パンデミック後の世界において、顧客獲得競争は激しさを増している。企業は、退職する従業員に重要な知的財産を持ち出されている場合ではないだろう。深刻な情報漏えいは、金銭的損失や信用の低下に及ぶからだ。退職手続きはセキュリティ対策のごく一部に過ぎないかもしれないが、極めて重要なものなのだ。

引用・出典元


Employee offboarding: Why companies must close a crucial gap in their security strategy by Phil Muncaster 14 Oct 2021 - 11:30 AM
https://www.welivesecurity.com/2021/10/14/employee-offboarding-companies-close-crucial-gap-security/

※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン