叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

エンジニアの情報漏えいと教育の必要性

SESエンジニアとして客先となる会社に参画すると、必然的に客先の預かる機密情報や顧客情報を知ることになります。

エンジニアの参画にあたっては、発注者となる客先とSES企業はSES契約を締結します。

ただ、それとは別に、秘密保持に関する誓約書をエンジニアに直接提出することも一般的です。

また、エンジニアが、客先から離れる際は、業務上知りえた秘密情報を漏えいさせないことや、秘密情報の含まれているデータの削除などを要求することもよくあります。

それだけ、情報セキュリティは重要です。

SESエンジニアは客先から多くの経験を得て、それはキャリアップにつながります。ただし、秘密情報の取扱いには最善の注意を働く必要があります。

情報セキュリティのインシデントを発生させると、会社は打撃を受けますが、エンジニア自身の評価にも悪影響を及ぼします。

客先に常駐するエンジニアが、情報漏えいに関与したインシデントで、もっとも世間的な注目を集めたのは、2014 年 7月 に起きた「ベネッセ個人情報漏えい」の事件です。

当時、息子は進研ゼミに入っていたので、わが家の情報も流出したのでしょう。ベネッセから「お詫び」のハガキが届いたので、印象に残ってます。

この事件は、ベネッセ子会社の業務委託先となるシステム開発会社の社員(システムエンジニア)が、顧客データにアクセスして、個人情報を名簿業者に売却していたというものです。

エンジニアは顧客情報システムの開発に関わっていたので、顧客情報に対する正当なアクセス権をもってます。

社員は所有する個人のスマートフォンを業務用パソコンにUSBで接続し、顧客情報を不正に抜き取ってました。周りからみると、その行為はスマホに電源補充をしているように見えたと思います。

結果的に、エンジニアは不正競争防止法違反(営業秘密の複製)の罪に問われることになりました。

会社の営業秘密を不正に取得すると、不正競争防止法に引っかかります。この法律は、不正行為による競争を排除し、市場の適正な競争原理を維持するための法律です。

ただし、営業秘密は次の3要件が充たされている必要があります。

要 件 説 明
秘密管理性 秘密として管理がされていること
有用性 事業活動に有用な技術上または営業上の情報であること
非公知性 公然と知られていないもの

この中でも、秘密管理性はキーポイントです。いくらその情報を外部に漏らしたくないと会社が考えていても、それを秘密情報として管理していなければ「不正競争防止法における営業秘密の3要件」に該当しません。

ベネッセの情報漏えいでは、エンジニアがお金を得る目的で、不正に顧客情報を入手しました。

これはある種の確信犯です。

しかし、そんなことをして一時的なお金を得ても、その後の人生がハッピーになるとは思えません。

情報セキュリティの意識を高く持っていれば、実行は思いとどまったんだろうと思うのです。

いっぽう、エンジニア本人は全く意図しなくても、会社の機密情報を漏えいさせてしまうこともあります。

その例として、2021年のSMBC・三井住友銀行のコード流出事件があります。

これは、SMBCが自社の金融システムの一部のソースコードをGitHubに誤って公開してしまったことが原因で発生したものです。

GitHubは、ソフトウェア開発やプロジェクト管理のためのクラウドサービスです。開発者がソースコードをホスティングし、バージョン管理、共同作業、問題追跡、コードレビューなどを行うためのツールを提供しています。GitHubは、オープンソースを利用したプロジェクトで、広く利用されてます。

GitHubの個々のリポジトリ(コードの保存場所)はオープンにするか、非公開にするかを設定することができます。通常は、特定のチームメンバーのみがリポジトリにアクセスできます。しかし、誤ってリポジトリを公開してしまうことがあります。

SMBCの事件は、エンジニアが誤って機密情報であるソースコードを公開してしまったことから、予期せぬ漏えいを招いてしまったのです。

人間は誰でもミスをします。

このような事件・事故をなるべく防ぐには、やはりエンジニアの情報セキュリティ意識を高めることが必要です。

個々のエンジニアが、情報セキュリティに関する基本的な概念や、脅威について理解する必要があります。

SES企業としても、定期的な情報セキュリティのトレーニングをすることで、エンジニアを意識改革の支援をする必要があります。

特に新米のエンジニアは、情報セキュリティの教育が不足しているため、より事故を招きやすいと思います。

IPAでは「3つのかばん-新入社員が知るべき情報漏えいの脅威-」という動画を配信してます。

3つのかばんというのはー

  • 顧客情報のかばん
  • 業務上知りえた情報のかばん
  • 営業秘密のかばん

を指しています。

短いドラマ形式なので、いちど見てみるのもいいと思います。

youtu.be