3つ目は、知的財産への「アクセス権限を徹底的に絞る」ことだ。企業のビジネスの成否を左右する知的財産は、必要最低限の人間しかアクセスする必要はない。「最小特権の原則」とも呼ばれるが、必要最低限のユーザーに対して、必要最低限のリソースに対する必要最低限のアクセス権限のみを付与することだ。例えば、閲覧はできても改変や保存ができないようにする、閲覧すらできないようにするなどいくつかの段階がある。もっといえば、知的財産が保管されている場所は、必要最低限の人間にしかわからないようにすることもポイントになる。
4つ目は、知的財産への「アクセスを必ず監視して検査する」ことだ。誰が、いつ、どこで、どのような手法で、何を目的にアクセスを試みるのかを機械的に検査することだ。その上で権利のない者によるアクセスや操作は徹底的にブロックし、権利があるものになりすましたアクセスではないかどうかも評価できるようにする。さらには権利があろうがなかろうがすべてのユーザーのアクセス履歴はログに記録して、必要な場合には追跡調査してアクセスの妥当性を評価することだ。これこそが「ゼロトラスト」と呼ばれるセキュリティ戦略の徹底になる。
5つ目は「アクセス権限の見直し」の徹底だ。組織は人で構成されている以上、人の出入りは頻繁に発生する。役職変更や部署移動によってアクセス権限が業務上不要になることもあれば、退職や契約満了によって完全な部外者になることもある。このようなタイミングですみやかにアクセス権限の変更やアカウントの削除を行うことだ。その上で、抜け漏れがないかを定期的に確認することで、不要なアカウントや権限が残っていればすみやかに対処することだ。
デジタルトランスフォーメーション(DX)やクラウドなどによって利便性は高まり、インターネットを通じて企業の情報資産はあらゆるものとの繋がりが一層深くなっている。同時に地政学的リスクや企業間競争が激しさを増す中で、知的財産の流出は企業の事業の存続を左右するだけでなく、場合によっては日本の国際競争力にも影響を及ぼす。サイバー攻撃か内部不正かを問わず、また過失か故意かを問わず、知的財産が外部に流出するリスクを再認識して具体策を講じていただきたい。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
