[1] 2012 DATA BREACH INVESTIGATIONS REPORT、Verizon Business、May 2012 [2] 情報セキュリティにおける人的脅威対策に関する調査研究報告書、財団法人社会安全研究財団、
平成 22 年 3 月.
[3] 環境犯罪学と犯罪分析、財団法人社会安全研究財団、2010 年 8 月.
[4] Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis, Stephen R.
Band, Dawn M. Cappelli, Lynn F. Fischer, Andrew P. Moore, Eric D. Shaw, Randall F.
Trzeciak, CERT, December 2006.
[5] The "Big Picture" of Insider IT Sabotage Across U.S. Critical Infrastructures, Andrew P.
Moore, Dawn M. Cappelli, Randall F. Trzeciak, CERT, May 2008.
[6] 2011 CYBERSECURITY WATCH SURVEY: ORGANIZATIONS NEED MORE SKILLED CYBER PROFESSIONALS TO STAY SECURE, January 2011.
[7] Insider Threat Study : Illicit Cyber Activity in the Information Technology and Telecommunications Sector, Eileen Kowalski, Dawn Cappelli, USSS, CERT, January 2008.
[8] Common Sense Guide to Prevention and Detection of Insider Threats, Andrew P.
Moore, Dawn M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F.
Trzeciak, CERT, Jan 2009.
[9] A Preliminary Model of Insider Theft of Intellectual Property, Andrew P. Moore, Dawn M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F. Trzeciak, CERT, June 2011
[10] An Analysis of Technical Observations in Insider Theft of Intellectual Property Cases, Michael Hanley, Tyler Dean, Will Schroeder, Matt Houy, Randall F. Trzeciak, Joji Montelibano, CERT, February 2011.
[11] Spotlight On: Insider Threat from Trusted Business Partners, Robert M. Weiland, Andrew P. Moore, Dawn M. Cappelli, Randall F. Trzeciak, Derrick Spooner, CERT, February 2010.
付録1:事例集(インタビュー調査)
No 概要
1
営業職員が、シンクライアント環境において印刷を認められていない個人情報(顧客情報)の印刷 を試みたために、システム管理者から注意を受けた「ルール違反の未遂」の事例。この事例は、セ キュリティマネジメントは完備されているが、周知されていないことによる情報漏えい未遂の事例。
2
地方の信用組合や信用金庫において、営業員が営業の現場で直接的に金銭を預かる場面にお いての着服、休眠口座などへの操作が判明した事例。この事例では、営業力のある営業員に対し て、数字を優先するために、ジョブローテーションしない、及び内部統制や相互チェックが形骸化し ている環境で発生した事例。
3 システム管理者が、社長宛のメールを、自身のメールアカウントに転送していた事例。この事例で は、システム管理者が、社長のクライアント PC の設定を行なう立場であることを悪用した。
4
システム管理者が、自宅に持ち帰った機密情報を、Winny がインストールされた自宅の PC から漏 えいさせた事例。この事例では、このシステム管理者は機密情報を電子媒体で自宅に持ち帰って いた。また、システム管理者は非常事態に備え、会社に無断で自宅から社内システムにリモートで 接続できる環境を構築していた。
5
一般社員が、管理用のノート PC を無断で持ち出し、計 2 台を売却したと思われる事例。この事例 では、管理用のノート PC5 台が山積みにされた状態で、長期間放置されている環境があった。どの 社員が持ち出して売却したのか、また持ち出した社員がこの PC からどのような情報を得たのかは 不明である。
6 一般社員が、インターネット上の掲示板に、社内における不満や、機密レベルを含む社内情報を 投稿していた事例。
7 社員が、会社の機密情報を持ち出し、売却していた事例。この事例では、社員は部下に、仕事の 一環として正規の手続きを経て機密情報の入った CD を作成させていた。
8
ある地方公務員が、故意にセキュリティインシデントを発生させた事例。この事例の背景としては、
その地方自治体では給与が減らされている一方、人員が削減されて業務が集中する中で、担当者 がストレスを感じ、不可抗力的に辞めることを意図したとされている。
9
開発者が、社内システムから開発情報を自宅の FTP サーバーにアップロードし、頻繁に持ち出し ていることが判明した事例。この事例では、自分が作ったものは自分のものであるという認識に加 え、自分がやってきたことを認めてもらいたい、保管しておきたいという感情がベースにあり、当事 者は悪いと思って犯行を行なっていない。
10
管理者権限を持つ一般社員が、換金目的で機密情報を取得し売却していた事例。この事例で は、この社員には借金があり、情報を売却して得た金額に味を占め、繰り返す度に内容がエスカレ ートしていった。監視は行われていたが、チェックすべき担当者がチェックを怠っていたため、発覚 が遅れた。
11
社員が、自宅にあるリモート環境から会社の機密情報を取得し売却した事例。この事例では、その 企業が震災以降、在宅勤務のために全社員に自宅 PC を利用したリモート環境を提供したしてい たことが背景にある。
12
システム管理者が社員利用の業務 PC について、セキュリティポリシーに則っているかを確認しよう としたところ、当該の PC を破壊したり、パスワードを失念したとしてアクセスを妨げる社員がいること が判明した事例。
13 退職する営業社員が、利用していた業務 PC へのアクセスを妨げようとパスワードを失念したと主張 する事例(故意に忘れた可能性もある)。これにはリストラされたことへの反発があると見られる。
14 社員が退職時に、開発物をまとめてダウンロードし持ち出した事例。この事例では、開発物が自身 に帰属するという意識とともに、転職先の会社への「お土産」の目的があると見られる。
15
社員が、上司の使用する USB メモリを入手し、顧客情報及びプロジェクト情報を取り出してこれを掲 示板にアップロードするとともに、USB メモリを元の場所に戻して、上司がプロジェクト情報を漏えい させたことに見せかけた事例。この事例では、当該社員は上司に対する恨みから、上司のプロジェ クトを頓挫させることを意図したものと見られる。
16 営業社員が、機密情報が保存されている PC から、故意に Winny に情報を流出させた事例。この事 例は、営業社員の会社に対する恨みが動機と見られる。
17 営業社員が、リストラによって退職する際に、パスワードを無断で変更し、そのままパスワードを通 知しなかった事例。この事例は、営業社員の会社に対する恨みが動機と見られる。
18
派遣社員が、顧客情報を自宅に持ち帰り、Winny がインストールされた自宅の PC から情報を流出 させた事例。この事例では、派遣社員は仕事を終わらせるために、自宅で業務を行う必要があると 考え、自身に与えられた権限内で USB メモリ・CD を用い、顧客情報を持ち出した。会社にはこれを 監視する体制はなかった。
19
特定部門に所属していた数名の社員が、一斉に退職する際に、新会社のスタートに利用するため に、営業情報である顧客情報を持ち出した事例。この事例では、社員の権限内で USB メモリ・CD を使用し情報を持ち出した。罰則は規定されていたが、監視はなされていなかった。
20
システム管理者が、自身が持つ管理者権限を悪用し、会社の個人情報を持ち出して、その後売却 した事例。この事例では、その後の調査の結果、金銭目的であったと見られる。システム管理者に 対する監視は行われていなかった。
付録2:事例集(判例調査)
No 概要
1
販売等を業とする企業の元取締役兼営業担当部長(A)が、在職時に会社から不正な手段で営業秘密が 記載された顧客名簿を取得した事例。この事例では、Aは、退職後に入社したC社での活動と、退職後設 立したB社での活動にこの顧客名簿を使用して、元の会社の顧客らに対する販売活動を行ったものであ る。AとB社は、元の会社に訴えられた。
2
企業(I)の経営者らが、企業(I)が保有していた営業秘密である製造装置に関する情報を、従業員に不正 に開示させて取得した事例。企業(I)の経営者らはその情報を中国のZに開示したものである。企業(I)の 経営者らは、Iを吸収合併して権利継承した企業に訴えられた。
3
元従業員(C)が、会社に在職中に、会社が保有する営業秘密であるノウハウ等の情報を不正な手段によ り取得した事例。Cが代表取締役を務める会社が、不正に取得された営業秘密であることを知りながら、こ れをCから取得した。CとCが代表取締役を務める会社は、Cが在職していた会社に訴えられた。
4 元従業員が、かつて在職していた、製造を業とする会社の製品に関する営業秘密を不正に利用して、製 品を製造した事例。元従業員は、かつて在職していた会社に訴えられた。
5
インターネットサイト(X1)の元従業員(P1及び被告Y3)が、X1とその経営者(X2)から示されたり、ある いは不正に取得した営業秘密である顧客情報を、別のインターネットサイト(Y1)とその従業員(Y2及び 被告Y4)に開示し、不正開示行為又は不正取得行為があったことを知りながら、この顧客情報を用いて インターネットサイトの営業活動を行った。元従業員(P1及び被告Y3)とインターネットサイト(Y1)と その従業員(Y2及び被告Y4)は、インターネットサイト(X1)およびその経営者(X2)に訴えられた。
6
製造販売等を目的とする会社(X社)を退社した元従業員(Y3、Y4)が、X社が管理する設計図面、設計 CADデータ等の営業秘密を利用して、X社と同種の製品を取扱う再就職先の会社(Y1、Y2)で製品を製 造、販売した事例。元従業員(Y3、Y4)と再就職先の会社(Y1、Y2)は、X社に訴えられた。
7 被告が、システム開発業務をとある民間機関に委託した際、再々委託先の担当者がシステムが利用する 原告の情報を不正に複製し売却した。
8 退社前に無断で製品の設計図の電子データを複製した元社員らの事例。会社は元社員らの電子データ 等の使用差止め、廃棄等を請求した。
9
機器の販売等を目的とする会社の元社員らが、勤めていた際に、会社が保有する顧客に関する情報不正 に持ち出した事例。元社員らは退職後勤めた会社における営業行為に利用した。この元社員がもと勤め ていた会社は、持ち出された情報は不正競争防止法二条四項にいう営業秘密に当たるとして、この元社 員と元社員が退職後に勤めた会社を相手取って、これを利用した営業活動の差止請求等を行い、認めら れた。
10
販売業を業とする原告の会社から、営業秘密である顧客情報の開示を受けていたAが、不正の利益を得 るため、また原告の会社の関連会社に損害を与える目的をもって被告会社に開示し、被告会社は不正開 示行為が介在していることを知りながらこの営業秘密の開示を使用した。
原告の会社はA及び開示を受けた会社を訴えた。