では、企業およびサプライチェーンにおいて、知的財産の盗用につながるような脆弱性はどこにあるのでしょうか。われわれは以下の3つのポイントに気を配るべきだと考えています。
サイバー犯罪全体の約3分の2は、外部のハッカーではなく企業内部の人間が関与していると言われています*1)。そのため、組織は慎重に扱わなければいけない情報や重要な価値ある知的財産を保護するためのシステムを整備することが重要です。
*1)参照: WSJ BLOGS: Insider Theft: the Real Cyber Threat?
またハッカーは、企業のコンピュータシステムに侵入するために、従業員をターゲットにします。例えば、無防備な従業員に入念に偽装したメールを送るという方法があります。メールに添付されたファイルは一見無害に見えますが、開くと侵入者がシステム内の重要な情報を探せるようになるというものです。従業員に対するトレーニングと警戒の喚起は、資産を守るために不可欠な要素です。
ハッカーは、インターネットに接続されたサーバやコンピュータに保存されている膨大な企業秘密情報に、遠隔操作でアクセスしてきます。ネットワークへの侵入経路としては、システムおよび人的な脆弱性を突かれるケースが多いようです。
社内システムのメンテナンス不足や不十分なセキュリティ対策が原因となり、脆弱性が生まれることがあります。また偽造あるいは違法コピーされたソフトウェアも、深刻なリスクをもたらします。ソフトウェアのライセンスを適切に取得していない企業は、自社だけでなく顧客のITシステムと情報を危険にさらすことになっています。
ITシステムが侵害されないようにするためには、適切な管理システムを導入する必要があります。これには、アクセス管理、デジタル著作権管理、コンテンツフィルタリング、そして、異常なアクティビティを追跡して責任者(executives)に警告するデータ分析ソリューションなどがあります。また、サーバや開発環境も保護する必要があります。さらに万が一IPの盗用が起きてしまった場合、証拠を収集するために科学捜査を行う技術も被害額を抑えるためには重要な要素になります。
グローバルでパートナーやサプライヤーと取引がある場合、情報漏えいに関する法令や規制が未整備な市場で社内ネットワークまたは機密情報にアクセスできる環境を用意する場面も出てきます。しかしその場合には、知財盗用の危険が突如降り掛かる可能性があります
2013年シマンテック「インターネットセキュリティ脅威レポート第18号」によると、現在サイバー攻撃全体の4分の1近くが製造業をターゲットとしたもので、攻撃数は前年より11%増加しているといいます。
攻撃者は、サプライチェーン末端の小規模なサプライヤーを利用して侵入してきます。これにより、製品がそっくり模倣されてしまうかもしれません。あるいはセキュリティが十分でない供給・製造過程で偽造部品、マルウェア、不良材料が混入され、製品が粗悪品となる可能性もあります。サプライチェーンにおけるリスクを管理しなければ、経営全体が大きく左右される事態も招きかねません。
重要なのは最後の「第三者およびサプライチェーン」の管理です。個人情報、データ保護、情報セキュリティ方針を専門とする調査機関ポネモン・インスティテュートによると、侵害事例全体の42%*2)を第三者組織が占めているといいます。
*2)参照: Ponemon Study Shows the Cost of a Data Breach Continues to Increase
同調査によると「(第三者組織の関連する被害は)追加で調査費用やコンサルティング費用が発生するため、最も多額の費用が必要になるデータ侵害である」と警告しています。グローバルサプライチェーンを持つ企業は、サイバー攻撃の脅威に備え、社内セキュリティ対策を導入するとともに、全てのサプライチェーンパートナーが同様の対策を講じているかを確認するため、デューデリジェンス(M&Aや提携、投資などを行う際に事前に行う多面的な調査)を適性に実施することが重要になります。
Copyright © ITmedia, Inc. All Rights Reserved.