【ITニュース解説】営業秘密漏えいが5年間で約7倍に サイバー攻撃に次いで多い漏えいのルートは?
2025年09月09日に「@IT」が公開したITニュース「営業秘密漏えいが5年間で約7倍に サイバー攻撃に次いで多い漏えいのルートは?」について初心者にもわかりやすいように丁寧に解説しています。
ITニュース概要
IPAの調査で、過去5年以内に営業秘密の漏えいを認識した企業が約7倍に急増したことが判明した。サイバー攻撃が大きな原因である一方、それ以外の経路からの漏えいも深刻化しており、企業には外部・内部両面でのセキュリティ対策強化が求められている。(118文字)
ITニュース解説
独立行政法人情報処理推進機構(IPA)が公開した「企業における営業秘密管理に関する実態調査2024」により、日本企業の情報管理における深刻な実態が明らかになった。この調査によると、「過去5年以内に自社の営業秘密が漏えいしたことを認識している」と回答した企業の割合は10.8%に達し、2020年度の前回調査の1.6%から約7倍に急増している。営業秘密とは、企業の競争力の源泉となる顧客情報、製造技術、研究開発データ、販売ノウハウなど、公にされていない重要な情報全般を指す。この営業秘密が外部に流出することは、企業の信頼失墜や事業継続を脅かすほどの経済的損失に直結する重大な経営リスクであり、その脅威がかつてないほど高まっている現状が浮き彫りになった。
この漏えい急増の背景には、複数の要因が複雑に絡み合っている。一つは、デジタルトランスフォーメーション(DX)の加速と働き方の多様化である。クラウドサービスの利用が一般化し、企業の重要データが社内のサーバーだけでなく、外部のデータセンターにも保管されるようになった。また、リモートワークの普及により、従業員が社外のネットワーク環境から社内システムにアクセスする機会が増加した。これにより、情報の利便性が向上した一方で、企業が管理すべき情報の範囲が物理的な境界線を越えて拡大し、従来のセキュリティ対策だけでは対応しきれない新たな攻撃経路が生まれている。
調査では、営業秘密が漏えいした具体的なルートについても分析されている。最も多い原因として挙げられたのは、外部からの「サイバー攻撃」である。これには、フィッシングメールなどを通じて従業員のPCをマルウェアに感染させ、内部ネットワークへの侵入の足がかりとする標的型攻撃や、公開サーバーの脆弱性を悪用してデータベースに不正アクセスする手口などが含まれる。攻撃者の技術は年々高度化・巧妙化しており、金銭を目的としたランサムウェア攻撃だけでなく、企業の競争力を削ぐことを目的とした営業秘密の窃取も活発化している。
そして、このサイバー攻撃に次いで多い漏えいルートとして指摘されたのが、「中途退職者による情報の持ち出し」である。これは、従業員が競合他社へ転職する際などに、在職中にアクセス可能だった顧客リストや技術資料などをUSBメモリや個人用のクラウドストレージにコピーして不正に持ち出すケースを指す。悪意を持った意図的な犯行だけでなく、退職時の情報管理に関するルールが曖昧なために、個人が利用していた端末にデータが残ったままになってしまうといった、意図しない漏えいも含まれている。内部の人間による情報漏えいは、正規のアクセス権限を持つ者によって行われるため、外部からの不正アクセスと比較して検知が非常に困難であるという特徴を持つ。
こうした多様な脅威から企業の重要な情報資産である営業秘密を守る上で、システムエンジニアが果たす役割は極めて重要である。まず、漏えいを防ぐための技術的対策の設計、構築、運用がエンジニアの重要な責務となる。具体的には、誰が、いつ、どの情報にアクセスできるのかを厳密に管理する「アクセス制御」の仕組みを導入することが基本となる。これには、強固なパスワードポリシーの徹底や多要素認証の導入、そして従業員の役職や業務内容に応じて必要最小限の権限のみを付与する「最小権限の原則」の適用などが含まれる。
また、万が一データが外部に流出した場合に備え、ファイルやデータベースそのものを「暗号化」し、正規の鍵を持つ者以外には内容を解読できないようにする対策も不可欠だ。さらに、システムへの不審なアクセスや通常とは異なるデータの動きを常時監視し、インシデントの兆候を早期に検知するための仕組み、例えばセキュリティ情報イベント管理(SIEM)ツールの導入やログの監視体制の構築もエンジニアが主導して行うべき対策である。OSやソフトウェアに存在する脆弱性はサイバー攻撃の格好の標的となるため、セキュリティパッチを迅速に適用する脆弱性管理も日常的な業務として欠かせない。
しかし、技術的な対策だけで情報漏えいを完全に防ぐことはできない。中途退職者による持ち出しのような内部不正に対しては、技術と組織的なルールを組み合わせた対策が必要となる。例えば、重要データへのアクセスログを詳細に記録・分析し、退職予定者による大量のデータダウンロードといった異常な振る舞いを検知するシステムを構築することが考えられる。また、情報資産の管理ルールの策定や、全従業員に対するセキュリティ教育の実施といった人的対策と連携し、技術面からその実効性を高める支援を行うこともシステムエンジニアに期待される役割である。営業秘密の保護は、もはや一部の情報システム部門だけの課題ではなく、企業全体で取り組むべき経営課題である。将来システムエンジニアとして活躍するためには、プログラミングやインフラ構築の技術力に加え、企業の重要資産をいかにして守るかというセキュリティの視点を常に持ち、最新の脅威動向と防御技術を学び続ける姿勢が不可欠となるだろう。