今回はIPAが公表した「企業における営業秘密管理に関する実態調査2024」を取り上げ、どのような漏えい経路が増えているのか、企業がどこに対策の手を入れるべきかを分かりやすく解説します。リスナーの皆さんには、現状把握だけでなく、自社で優先すべき具体的対策や今後の業界動向の読み方も持ち帰っていただけます。
独立行政法人情報処理推進機構(IPA)は8月29日、「企業における営業秘密管理に関する実態調査2024」報告書を公表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
IPAの調査は、企業のセキュリティ実務担当者や経営層1,200人を対象に実施され、営業秘密の漏えいルートや対策の実施状況を明らかにしています。最も目立つのは「外部からのサイバー攻撃等に起因する漏えい」が2020年度の8.0%から36.6%へと急増した点で、サイバー攻撃が主な要因になりつつあることを示しています。一方で「現職従業員等のルール不徹底」「金銭目的」「誤操作・誤認等」といった内部要因も依然として高い割合を占め、内部不正と外部攻撃の両面対策が必要だと示唆されます。漏えい先は主に国内の競合他社であり、海外流出は相対的に少ないもののゼロではありません。不正持出防止策の実施状況を見ると、USBや撮影機器の持ち込み制限や書き出し制御が比較的多く導入されている反面、メール送信ルールや上司のCC必須設定などは増加傾向にあるもののまだ限定的で、「何もしていない」が28.2%と約3割の企業で対策が不十分な実態が浮かび上がっています。過去の調査と比較すると、外部攻撃の比率増加とメール・データ持出対策の漸進的な強化が観察され、今後はリモートワークの定着やサプライチェーンのデジタル化に伴い、対策の幅や優先順位がさらに変化する可能性があります。
質疑応答
営業秘密って具体的にはどのような情報を指すのでしょうか、法的にはどう定義されているんですか?
営業秘密とは一般に公に知られておらず、秘密として管理され、事業活動に有用な技術上または営業上の情報を指します。法的には秘密管理性、有用性、非公知性の三要素が重要とされ、企業が社内で適切に管理していることが示されれば営業秘密として保護されます。単なるノウハウや顧客リスト、設計図、製造手順、価格戦略などが該当し、漏えいを防ぐためには物理的・技術的・組織的対策を組み合わせる必要があります。
外部からのサイバー攻撃が急増した背景にはどんな要因があると考えられますか?
背景には攻撃手法の高度化と自動化、ランサムウェアや情報窃取型マルウェアの拡散、リモートワークの増加による社内境界の拡散があります。さらにサプライチェーン経由や第三者ソフトの脆弱性を突く攻撃が増え、認証管理の不備やパッチ未適用が悪用されやすくなっています。人的ミスや設定ミスと組み合わさることで外部攻撃が成功しやすくなっており、検出や遮断の仕組みも追いついていないことが一因です。
海外の企業や各国では同様の傾向が見られるのでしょうか、国際比較はどうなっていますか?
国際的にも知的財産や営業秘密の外部流出は重要課題で、特に先進国ではサイバー攻撃起因の情報漏えいが増加傾向にあります。国や地域によって規制や保護の枠組みが異なり、例えば欧米ではデータ保護や産業スパイ対策が強化されている一方、新興国では対応が遅れるケースもあります。多国籍企業は各国法令への対応とグローバルな管理基準の整備が必要で、国際的な防御連携や情報共有の重要性が高まっています。
限られた予算でどのように対策の優先順位を決めれば良いでしょうか、企業戦略としての勘所はありますか?
優先順位はまずリスク評価に基づいて決めるべきです。どの情報が事業継続や競争力に直結するかを洗い出し、影響度が高くかつ発生確率が高いリスクに対して重点的に対策を投資します。技術的対策だけでなくアクセス制御やログ監視、教育・規程整備を組み合わせ、短期で効果の出る施策として、多要素認証、エンドポイント保護、ファイル書き出し制御などと、中長期の組織改善を並行することが肝要です。
この調査結果の信頼性や解釈で注意すべき点、予測の不確実性について教えていただけますか?
調査はセキュリティ担当者や経営層1200人を対象とした自己申告ベースのアンケートであり、回答者の認識や企業の報告姿勢が結果に影響します。検知できていない漏えいや報告されていない事例は含まれないため、実際の発生率は異なる可能性があります。また技術や運用が急速に変わるため、今後の傾向予測にはリモートワークの普及、法規制の強化、攻撃者の手口変化を織り込む必要があり、予測には不確実性が伴います。
まとめ
今日は、外部攻撃の増加と内部対策の重要性、限られた予算での優先付けや国際比較の視点などを学びました。また一つ、勉強になりました!
