【ITニュース解説】日本のCISOが経験した情報漏えいの約9割に「退職した従業員」が関与

このニュース記事は、企業の「情報セキュリティ」を守る最高責任者であるCISO（Chief Information Security Officer）たちが、現在どのような課題に直面し、どのようなプレッシャーを感じているかを明らかにした調査レポート「2025 Voice of the CISO」の日本語版について報じている。システムエンジニアを目指す皆さんにとって、この調査結果は、将来のキャリアにおいて情報セキュリティがいかに重要であるか、そしてどのような形で関わっていくことになるのかを理解するための貴重な情報となるだろう。

まず、CISOとは何かを簡単に説明する。CISOは、企業が所有する顧客情報、開発中の技術情報、従業員の個人情報といったあらゆる機密情報が、外部からの攻撃や内部からの不正によって漏洩したり、悪用されたりしないように、情報セキュリティに関する戦略の立案から実行までを統括する役割を担っている。まさに、企業の「情報防衛の司令塔」と呼べる存在だ。

今回の調査で特に注目すべきは、日本のCISOたちが実際に経験した情報漏洩の事例のうち、実に約9割ものケースに「退職した従業員」が関与していたという衝撃的な事実だ。これは、企業の情報セキュリティリスクが、外部からの巧妙なサイバー攻撃だけではなく、企業の内部、特に退職者という予期せぬ経路からも発生していることを強く示唆している。退職した従業員が情報漏洩に関与する背景には様々な状況が考えられる。例えば、退職時に企業秘密を不正に持ち出したり、在職中に得たシステムのアクセス権限を退職後も利用したりする悪意あるケースが存在する。一方で、悪意はなくとも、退職前に個人のクラウドストレージに業務データを保存していたり、誤ってUSBメモリにコピーしたまま持ち帰ってしまったりといった、不注意による情報流出も含まれる可能性がある。このような事態を防ぐためには、従業員が退職する際のデータ持ち出し制限の徹底、アクセス権限の即時剥奪、そして情報資産へのアクセスログを厳重に監視するといった、厳格なルールとシステムによる管理が不可欠となる。システムエンジニアとしては、従業員の入社から退職までのアカウントライフサイクル管理、データへのアクセス制御機能の設計・実装、持ち出し防止のためのデータ損失防止（DLP）システムの導入・運用など、多岐にわたるセキュリティ対策の構築と維持が重要な役割となるだろう。

さらに、この調査では日本のCISOの実に69％が「今後1年以内に重大なサイバー攻撃を受ける」と予想していることも明らかになった。この高い予測数値は、CISOたちが現状のサイバーセキュリティ対策だけでは不十分だと感じており、常に進化し続ける攻撃手法に対して、企業が非常に脆弱であるという強い危機感の表れだ。サイバー攻撃は年々高度化・巧妙化しており、以前は一般的なウイルス感染やフィッシング詐欺が主な脅威だったが、最近ではAIを悪用した高度なソーシャルエンジニアリング攻撃、サプライチェーン（供給網）を標的とした攻撃、そして国家レベルの組織による洗練された標的型攻撃など、その手口は非常に複雑になっている。このような状況下で、企業は常に最新のセキュリティ情報を収集し、防御策を講じ続ける必要があり、セキュリティ対策に終わりはないと言える。

CISOたちが直面している具体的なプレッシャーは多岐にわたるが、その中でも特に二つの大きな課題が挙げられている。一つは前述の「内部不正への対応」である。外部からの攻撃対策に加えて、社内、特に退職者による情報漏洩リスクに対処することは、企業にとって非常に難しい課題だ。なぜなら、内部の人間はシステムの仕組みや機密情報の保管場所を知っているため、外部の人間よりも容易に情報にアクセスできてしまう可能性があるからだ。これを防ぐためには、アクセス権限の最小化原則に基づいた厳格な管理、機密情報へのアクセス履歴の徹底した監視、そして従業員に対する継続的なセキュリティ意識向上教育が重要となる。

もう一つの大きな課題は「生成AIのガバナンス対応」だ。近年急速に普及している生成AI、例えばChatGPTのような技術は、業務の効率化や新たな価値創造に大きな可能性を秘めている一方で、情報セキュリティの観点からは新たなリスクをもたらす。従業員が企業の機密情報を生成AIに入力してしまうことで、その情報が外部のAIベンダーに渡ってしまったり、学習データとして利用されてしまったりする危険性がある。また、生成AIが悪意のあるコンテンツの作成や、より精巧なフィッシングメールの自動生成に悪用される可能性も指摘されている。そのため、企業は生成AIの利用に関する明確なルール（ガバナンス）を定め、従業員に徹底させる必要がある。どのような情報を入力しても良いのか、どのような目的で利用するのかといったガイドラインを策定し、技術的な側面から利用状況を監視・制御する仕組みを構築することも、システムエンジニアの重要な仕事となるだろう。

これらの複合的な課題に直面し、日本のCISOたちは「極度のプレッシャー」にさらされている状況が浮き彫りとなっている。サイバー攻撃の巧妙化、内部不正のリスク増大、そして生成AIのような新しい技術がもたらす未知の脅威。これら全てに対応し、企業の情報資産を守る責任は非常に重い。

システムエンジニアを目指す皆さんにとって、このニュースは将来のキャリアを考える上で非常に重要な意味を持つ。情報セキュリティは、もはやIT業界の特定の専門分野だけでなく、あらゆるシステム開発・運用に不可欠な要素となっている。セキュリティを考慮しないシステムは、それ自体が大きなリスクとなるからだ。データベースの設計段階からセキュリティを考慮すること、ネットワーク構築時には不正アクセス対策を組み込むこと、アプリケーション開発においては脆弱性診断を実施すること、そして利用者がセキュリティ意識を高めるための仕組みや教育プログラムも、システムエンジニアが関わるべき重要な領域となる。

特に、退職者による情報漏洩という問題は、単なる技術的な対策だけでなく、企業文化、人事制度、そして従業員への教育といったヒューマンファクターも深く関わってくる。システムエンジニアとして、技術的な解決策を提供するだけでなく、組織全体のセキュリティ意識を高めるための提言や協力も期待されるだろう。

今回の調査結果は、現代社会における情報セキュリティの重要性を改めて浮き彫りにした。企業が持続的に成長し、社会からの信頼を得るためには、強固な情報セキュリティ体制が不可欠であり、その実現にはCISOだけでなく、システムエンジニアを含む全てのITプロフェッショナルが当事者意識を持って取り組む必要がある。サイバーセキュリティは、単なるコストではなく、企業価値を守り、高めるための重要な投資と位置づけられるべきなのだ。これからシステムエンジニアとして働く皆さんは、セキュリティの知識を常にアップデートし、安全なシステム環境を構築・運用する責任があることを理解しておくことが求められる。