事例研究 情報漏洩(流出)とデジタル・フォレンジック 2010年11月12日 特許・情報フェア&コンファレンス2010講演会 (財)未来工学研究所 舟橋 信 『超限戦 21世紀の「新しい戦争」』の世界 (1999年2月出版 喬良 王湘穂 共著) 兵器の新概念 ・ 軍事領域を超えて、戦争に運用できる手段をすべて兵器と見なす ・ 身の回りにある日常的な事物を戦争を行う兵器に豹変させる 例示 ・ ・ ・ ・ 人為的に操作された株価の暴落 コンピュータへのウイルスの侵入 敵国の為替レートの異常変動 インターネット上に暴露された敵国首脳のスキャンダル 超限戦 ・ 全ての境界と限界を超えた戦争 戦場の変化 ・ 真に革命的な意義を持つ戦場の変化は、非自然空間 ・ 技術が作り出した「インターネット空間」などの「人工空間」 ・ いかなる空間も人類によって戦争の意義を付与されてしまう。場所、手段、目標を 問わず、攻撃を仕掛ける能力さえあれば、そこは即座に戦場となる (日本語版:2001年12月、監修 坂井臣之助 訳 劉琦、共同通信社) ©2010 FUNAHASHI 2 情報漏洩の対象となる情報 個人情報 : 顧客・会員・生徒・社員 ・日経マグロウヒル事件 ・宇治市住民基本台帳データ不正漏えい事件 知的財産 : 非公開著作物 ・新潟鉄工所事件 営業秘密 : 非公開技術情報・原価計算書 ・大手自動車部品メーカーに係る事件 セキュリティ : ID・パスワード・データ保管場所 ・ISPに係る顧客情報の大量漏洩事件 ©2010 FUNAHASHI 3 日経マグロウヒル事件 【日経マグロウヒル】 【アテナ】 【長野計算 センター】 【パシフィック計 算センター】 【リーダーズダイジェスト】 購読者名簿(住所氏名) 宛名印刷 日経ビジネス誌 購読者名簿のコピー 【日経ビジネス購読者】 特別申込書 ©2010 FUNAHASHI 4 新潟鉄工所事件 部長代理(システム開発担当)とグループマネージャー(CADシステム開発担当)が 自ら開発に関与したCADシステムを開発・販売する新開社設立を企て、 機密資料として保管されていたCADシステムのソ-スプログラム、ロードモ ジュール、各種ドキュメントを社外に持ち出しコピーした後、同社に戻された。 新潟鉄工所は,2人の持ち出し行為が業務上横領に当たるとして告訴 東京地裁判決(昭和60年2月13日(第一審))、東京高裁判決(昭和60年12 月4日(控訴審))では、業務上横領罪の成立を認めた。 この事件では、コンピュータプログラムの著作権の帰属に関して、会社か開 発者かが争われた。 『その法人等が自己の著作の名義の下に公表するもの』には、公表は予定 されていないが、仮に公表されるとすれば法人等の名義で公表されるものも 含まれると解するのが、少なくともコンピユーター・プログラムやその作成過 程におけるワーキング・ペーパーに関するかぎりワーキング・ペーパーの後 述の性格上やはり相当といわなければならない。 ©2010 FUNAHASHI 5 ISPに係る顧客情報の大量漏洩事件 ISPのリモートメンテナンスサーバーや顧客データベースの管理業務に従事し、アクセ ス権限を有していた派遣社員Aが退職した後も両システムにアクセスできるグ ループアカウントとパスワードの変更が行われなかった。 平成15年6月、Aと知人Bはインターネットカフェからリモートメンテナンスサーバーを通し て顧客データベースにアクセスし、顧客情報を不正に取得した。 平成16年1月、Bは、再度、同様の手口で顧客情報を不正に取得。 不正取得された顧客情報は、BからCに渡り、Cは、当該ISPや関連会社 を恐喝したが、恐喝未遂で検挙。 リモートメンテナンスサーバーが設置された平成14年12月~平成16年1月の間、 パスワードの定期的変更は行われていなかった。 ©2010 FUNAHASHI 6 営業秘密について(不正競争防止法第2条第6項) 営業秘密の3要件 秘密として管理されていること(秘密管理性) 事業活動に有用な技術上又は営業上の情報(有用性) 公然と知られていないもの(非公知性) ©2010 FUNAHASHI 7 特許出願を最小限にとどめ、営業秘密として保護する理由 70.0 60.0 50.0 大企業 中小企業 40.0 30.0 20.0 10.0 0.0 出典:三菱UFJリサーチ&コンサルティング㈱「市場攻略と 知的財産戦略にかかるアンケート調査」(2008年12月) 8 技術情報漏洩の現状:流出実態 3.60% 19.30% 16.50% 60.50% 出典:経済産業省、2007年10月、産業構造審議会 第11回 知的財産政策部会 資料7 明らかに技術流出と思われ る事象があった 恐らく技術流出と思われる 事象があった 技術流出に当る事象はな かった その他 9 技術情報漏洩の現状:企業が感じている技術流出リスク ①人を通じた流出 (技術提携 契約違反、現役従業員/ 退職者による技術指導) 82.3% ②製品・商品を通じた流出 (製造装置/重要部品/ 最終製品のRE等) 63.5% ③技術データ(ワザ)を通じた流出 (図面・製造データの流出等) ④敵対的な買収 71.5% 6.8% ⑤その他 1.7% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 経済産業省アンケート調査(平成18年8月~10月) 対象企業 : 製造業関係企業625社にアンケートを依頼、 回収企業数 357件 回収率 57.1% 以下同じ 出典:経済産業省、2007年10月、産業構造審議会 第11回 知的財産政策部会 資料7 10 営業秘密に係る刑事罰の社内周知状況 特に何もしていない その他 社内報等 社員(法務・知財以外)研修 社員(法務・知財)研修 0% 10% 出典:経済産業省「営業秘密の保護のあり方に 関するアンケート」(2004年11月) 20% 30% 40% 50% 60% 11 技術情報漏洩の現状:技術流出先 ①米国 ②欧州 ③中国 ④韓国 ⑤日本 ⑥その他の国 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% ※その他の国は、台湾・ロシア・シンガポール・マレーシア・オーストラリア等 経済産業省アンケート調査 出典:経済産業省、2007年10月、産業構造審議会 第11回 知的財産政策部会 資料7 12 情報漏洩事例 大手自動車部品メーカーに係る事件 ・2007年2月13日 DBメンテナンスの際に発覚 システム中に大量エラー、中国人社員のアクセス記録、当該社員は、来日 前は中国国防科学技術委員会傘下のロケット・ミサイル開発・製造企業に 勤務 ・2006年10月~12月 130,800件の技術情報流出 産業用ロボット、センサー、ディーゼルエンジンの燃料噴射部品 ・当該社員は、ダウンロードに使用した会社貸与のPCを自宅に持ち帰って いたため、私物PCと併せて、提出するとの了解を得て他の社員が付き添 い自宅に出向いたところ、約1時間、自室に閉じこもり、私物PCのHDDを 破壊 ©2010 FUNAHASHI 13 情報漏洩事例(続き) ・その後、同社は、県警察に被害届を提出 ・2007年3月16日 県警察は社有PCの横領で検挙 当該社員にはDBへアクセスするためのID及びパスワードを 与えており、勉強のためダウンロードしたと主張し、不正に そのデータを使用したことなどを立証できなかったことから、 不正競争防止法の営業秘密侵害罪で立件できず ・2007年4月6日 地方検察庁は、処分保留で釈放 参考:衆議院「外務委員会議事録」(2007年3月23日) 岸宣仁「デジタル匠の時代」『SAPIO』(2007年7月25日) ©2010 FUNAHASHI 14 デジタル・フォレンジックの対象機器 ©2010 FUNAHASHI 15 教訓:デジタル・フォレンジックの側面から 採用時のバックグラウンド・チェック? ログ分析等による早期発見・対処 社員使用PC(私物PCを含む?)に対するフォレンジック 退職時の措置(フォレンジックの実施) 平常時における社員教育 従業員規則・文書管理規則・情報セキュリティ規則 e-ディスカバリにも留意 ©2010 FUNAHASHI 16
© Copyright 2024 Paperzz