不正アクセスが顧客の命を脅かす危険も
松原 社員のプライバシー保護と雇用契約との兼ね合いもありますが、重要なのは通常とは異なる行動の素早い検知です。近年は転職が増え、海外では解雇や降格も一般的です。不満を持った社員が、会社への恨みから情報を破壊したり、転職を有利にするため知的財産情報を持ち出したりすることがあります。
防止するには、本来の職務に不必要な顧客情報や知的財産情報などへの急なアクセス、通常の業務では考えられない大量のダウンロードやプリントアウトなど、異常な行動をいかに早く検知できるかが鍵を握ります。
例えば、米ディズニーでメニュー作成を担当していたマネージャーは、2024年6月に不正行為を理由に解雇された後、自分の業務用認証情報がそのまま使えることに気づきました。そして、レストランのメニュー作成のデジタル管理システムに不正アクセスを繰り返し、ピーナッツなどのアレルギー表示を削除するなどの改ざんを行ったのです。
この元社員は、公衆の健康と安全を脅かしたとして起訴され、2025年4月に連邦裁判所で禁錮3年の実刑判決が下されています。
中小企業のほうが被害の数が多い
秋山 経営者の立場で考えると、情報セキュリティへの投資は必要だと思いつつ、売上に直結しないため二の足を踏む傾向があります。どの程度投資すればよいのでしょうか。
松原 企業のIT予算に占めるサイバーセキュリティ予算の割合を指標とする場合もあり、米国では平均して13.2%を投資しています。ただ、業種や企業規模によって割合はまちまちです。高価な製品やサービスを入れたからといってセキュリティの穴がなくなるわけではありません。設定を間違えれば、そこから侵入されかねません。
中小企業の場合、ウイルス対策ソフトを入れる程度で止まっています。
秋山 中小企業の経営者は「うちのような会社は攻撃しても、ハッカーにとってさしたる旨味もないだろう」と考えがちですが、実際はどうなのでしょうか。
松原 それは大きな誤解です。2019年に、大阪商工会議所が中小企業を狙ったサイバー攻撃の実態を調査しました。その結果、何と調査に協力してくれた30の中小企業全てが何らかのサイバー攻撃を受けていたのです。(参照)
秋山 意外ですね。
