知識は力である。 特に競合他社の手中では。
あなたの会社、その製品やサービス、財務、販売、マーケティング戦略に関する情報は、現代の経済戦争の武器となります。 この記事では、産業スパイの世界を探り、それを防ぐための方法についてお話します。
産業スパイとは
合法的な方法で集めた競合他社の情報は、市場シェアをめぐる争いに有利に働きます。 しかし、それだけでは十分でない場合もあります。 ニュースから判断すると、競合他社が情報収集のためにスパイを送り込むことは、案外多いのです。
産業スパイは、企業データを収集するための違法かつ非倫理的な方法を包含しています。 知的財産や企業秘密を盗んで、競争上の優位に立つために利用することが含まれます。
外国が主催する経済情報の窃盗は、経済スパイと呼ばれます。 利益のためだけでなく、戦略的な理由で行われる。
産業スパイのターゲット
競合他社がどのようなデータを欲しがっているのか気になるところです。 企業秘密」の定義は国によって異なりますが、一般的には、既存の製品や開発中の製品に関する保護された情報を意味します。 この情報は、ライバルが自社製品の競争力を高めたり、自社よりも早く類似製品を市場に投入するのに役立つ可能性があります。 財務情報を含む顧客のデータは、ビジネスを盗むために使用されたり、企業の評判を傷つけるためにリークされたりする可能性があります。 あなたの会社に関する財務情報は、顧客やパートナーにより良い取引を提案したり、入札に勝ったり、さらにはあなたの大切な従業員により良い提案をするために使用することができます。
最もリスクの高い業界は?
自分の会社がスパイにとってどれだけ魅力的か知っていますか?
スパイ活動はどこでも起こり得ますが、コンピュータ、自動車、エネルギー、航空宇宙、化学産業など R&D にかなりの投資を必要とする業界の企業は特に注意する必要があります。
産業スパイは、小売、金融、および公共部門でもよく見られます。これらの部門は競争が激しく、サイバーセキュリティへの投資不足に悩まされることが多いからです。
こちらもお読みください。 データ侵害のリスクが最も高い 5 つの業界
産業スパイのすべてのケースについて耳にしない理由
産業スパイは、検出が難しく、証明はさらに難しい。
産業、経済、企業スパイの本当にセンセーショナルなケースは、メディアに取り上げられることもありますが、それは氷山の一角に過ぎないのです。 まだあなたの会社に影響がないとしても、それは時間の問題です。 問題は、なぜそれほどニュースで聞かないのかということです。
ほとんどの企業が産業スパイの事例を報告しないのには、いくつかの理由があります。 産業スパイは、すでに機密データにアクセスできる内部の人間によって行われることが多い。 スパイ活動は、彼らの通常の日常活動とほとんど区別がつかないため、これらの行為を発見するのは難しく、裁判で証明するのはさらに難しい。
- 加害者に責任を負わせるのは難しい。 企業秘密や産業スパイに関する法律は国によって異なるため、外国の企業や政府の責任を追及するのは非常に難しいかもしれません。 また、加害者が国内であっても、貴社が訴訟を継続することが不可能なほど、法的手続きを長引かせることがあります。
- 自社株に悪影響が出る可能性がある。 セキュリティが破られたことが公になれば、あなたの会社の株式の価値は下がるかもしれません。 投資家や顧客の信頼を損なう可能性がある。
- IT規制の違反とみなされる可能性がある。 企業は、顧客の機密データのセキュリティを確保する責任があります。 国や業界によっては、このデータが漏れたり、産業スパイに盗まれたりすると、会社に罰金が課されます。 そう、スパイのせいで損失を被ったり、罰を受けたりすることもあるのだ。
これらの要因から、企業はスパイの事例を内密にし、内部調査を行うことを余儀なくされるのである。 効果的な検出と対応手順を確立するのは、企業の責任である。 しかし、効果的な予防は産業スパイに対処する最善の方法です。
How industrial espionage is performed
産業スパイには多くの手法があります。
産業スパイを効果的に防ぐ方法を理解するには、それがどのように行われているかを知る必要があります。
セキュリティを破ってデータを不正取得するには、いくつかの方法があります。
サイバー攻撃
Center for Strategic and International Studiesのレポートによると、重大なサイバーインシデントの数は2007年の12から2018年には103に増加しました
外国政府は経済スパイ行為でハッカーを使うことが最も多いのです。
ハッカーは、既知およびゼロデイ脆弱性を悪用するスパイソフトウェアやマルウェアを使って、機密データにアクセスすることができます
こちらもお読みください。 MITRE ATT&CK はどのようにサイバー攻撃を軽減できるのか?
サイバー攻撃の可能性は、組織にとってよく知られた悪夢ですが、リスクを知っていても、必ずしも必要な対策を講じられるとは限りません。 多くの企業は、サイバースパイ防止策をとっていないのです。
大多数の企業は、最新のマルウェア対策とネットワークセキュリティを備えていますが、インシデント測定計画、リムーバブルメディア制御、および正式なポリシーについて考えている企業はごくわずかです。
さらに、サイバー侵害は、それを可能にする物理的なアクセスによって先行されることがよくあります。 そのため、物理的なセキュリティとサイバーセキュリティがリンクしている場合、高度なマルウェア対策やファイアウォールでも十分ではありません。
サイバーセキュリティを強化して外部の脅威から確実に保護することは、昔ながらの産業スパイを社内に招き入れ、インサイダーの脅威を増大させることになるのではないか、と考える人もいます。 競合他社は、通常の従業員として行動しながら、実際の雇用主のためにひそかに情報を収集するモールを社内に仕掛けることができます。
競合他社は、特権的なアクセス権を持つ信頼できる従業員に近づき、秘密やその他の貴重な情報の取引を依頼したり、金銭を提供したり、協力するように脅迫したりすることができます。 このような従業員の悪意ある行動は、ハッキング攻撃よりもはるかに検出しにくいため、より安全な方法といえます。
こちらもお読みください。 企業におけるユーザー行動のベースラインを構築するためのベスト プラクティス
自分の社員はそんなことはないと思っていたら…
人は、企業スパイを不用意に実行したり援助したりすることもあります。 さまざまなソーシャル・エンジニアリングのテクニックを使って、従業員から秘密情報を集めたり、認証情報を引き出したりすることができます。
廊下に無造作に置かれた USB スティックを好奇心の強い従業員が拾って使用することや、リンクをクリックするよう受信者に促す注意深く書かれた電子メールは、マルウェアがシステムに感染し、競合相手に機密データへのフルアクセスを可能にする数ある方法のうちの 2 つに過ぎないのです。 会社への仕返しを考えている不満を持った従業員、あるいは単に信頼できるインサイダーが競合他社に移った場合、機密データを簡単に持ち出すことができます。
以下もお読みください。 悪質なインサイダーの肖像。
Three high-profile cases of industrial espionage
Tech giant even become victim of an industrial spy.
ほとんどの企業は評判を落とすのを避けるために産業スパイの事例を隠そうとしますが、中には世間に知られてしまった事例があります。
テスラ
2018年11月、テスラは、テスラの製造システムの機密写真と動画を盗んだマーティン・トリップに対して訴訟を起こしました。 その後、トリップはギガファクトリーで生産されたと主張するバッテリーが破損しているが、まだ使用するつもりであるという写真をツイートした。 テスラの内部調査により、テスラの名誉を傷つけるBusiness Insiderへのデータ流出はトリップの責任であることが判明した。
テスラの代表者はトリップを不満な元従業員と呼び、現在トリップは自分自身を内部告発者と宣言し、反訴している。 彼の動機は、テスラ社の関係者が言うように妨害行為かもしれないし、彼が主張するように電気自動車ユーザーの安全に対する誠実な懸念かもしれない。 誰にもわからない。 しかし、彼が雇用主をスパイし、そのデータを使って会社に損害を与えたという事実は疑う余地がない。
ウェイモ
2017年2月、自動運転車会社のウェイモは、ウーバーと、ウェイモの元社員アンソニー・レバンドフスキーの新興企業オットーを、自社の技術を盗用したとして提訴した。 Levandowski氏は2016年1月にWaymo(当時はGoogleのプロジェクト)を退職し、トラックを自動運転にするために強化する会社を設立した。 Ottoはその後、Uberに買収された。
ウェイモはレバンドウスキーが辞任する前に、フラッシュドライブを使って高度な機密情報を含む1万4000のファイル(設計、設計図、テスト文書)を盗んだと訴えた。
その後、OttoとUberがWaymoの秘密技術を使用してLiDarシステムのコンポーネントまたはシステムを構築し、配備していたようである。
1年にわたる訴訟の末、UberはWaymoに2億4500万ドルの株式を与え、自社の自動運転車にWaymoのハードウェアやソフトウェアを使用しないことを約束しました。
Apple
ここで、スリリングな背景の自動運転車スパイの例をもう1つ紹介します。 Appleの元社員で、中国の電気自動車スタートアップXmotorsに就職するために同社を退職したXiaolang Zhangが、2018年7月に逮捕されました。 Zhangは機密ファイルを個人のノートパソコンにコピーしていたが、企業秘密の窃盗について無罪を主張した。
Apple社員の逮捕は、2019年1月にFBIが電気技師のJizhong Chenを逮捕した際にも起こった。 彼は、Appleの極秘自動運転車プロジェクトに従事する約1,200人の中核社員の1人でした。 陳は、2,000以上のファイル(回路図、図面、マニュアル)をダウンロードし、プロジェクトの写真を撮影した罪に問われている。 現在、マスコミは捜査のさらなる進展について沈黙を守っている。
How to detect and prevent industrial espionage: best practices
マルウェア対策は海の一滴に過ぎない。 組織の全体的なセキュリティ ポスチャを強化するための措置を講じ、最高のスパイ防止策に従い、内部スパイの防止と検出に特に注意を払う必要があります。
リスク評価を実施すること。
自社にとって最も価値のある企業データは何か。
潜在的なターゲットを見つける。 自社が保有する企業秘密やその他の貴重なデータが何であり、どれだけの価値があるのかを知る必要があります。 企業秘密は、すでに市販されている製品や競合他社の既知の資産と比較することで評価できます。
最も価値のあるデータを特定したら、誰がそれを欲しがっているかを推測することができます。 考えられる脅威と潜在的な攻撃ベクトルを知れば、自社の防御の脆弱性を検出することができます。
リスク評価は、すべての組織のセキュリティ戦略の一部であるべき、セキュリティに対するリスクベースのアプローチにとって重要なものです。 また、インシデント対応計画も策定しておく必要があります。
効果的なセキュリティポリシーを確立する
すべての従業員は、セキュリティポリシーに従っていますか。 このポリシーには、パスワードの共有や従業員が自分のデバイスを職場に持ち込むことを禁止するルールなどが含まれている必要があります。
効率的なデータアクセスポリシーを維持する
重要なデータにアクセスできるのは誰か? 本当に必要ですか。
多くの企業は、重要なデータやインフラへのアクセスをデフォルトで提供しています。 その方が便利かもしれませんが、このポリシーは安全ではありません。
企業は最小特権の原則に従い、必要な場合を除き、すべてのデータへのアクセスを禁止する必要があります。
いわゆる「知る必要性」の原則を適用することは、本当に情報を必要とする従業員だけにアクセスを提供することを意味します。 権限のない従業員が時折機密情報を扱う必要がある場合は、権限のあるスタッフの監視下で行うことができます。
重要なデータにアクセスできる人の数を制限することで、競合他社がこのデータを入手するリスクを強く制限することができます。 データの悪用を検知し防止する4つの方法
インフラストラクチャを保護する
多層的アプローチによる境界で保護されているか
企業ネットワークの周りに安全な境界を確立することです。 ファイアウォールやウイルス対策ソフトウェアなど、従来の企業向けサイバーセキュリティソフトウェアは、最初の防衛線となります。
貴重なデータを企業ネットワークから分離し、アクセスを制限するようにします。 境界ルータを保護し、スクリーン・サブネットを確立する。 重層的なアプローチによる安全な境界は、ハッキングやマルウェアによる産業・経済スパイから身を守る最善の方法です。
従業員の教育
従業員は、自分が会社のサイバーセキュリティにどう貢献しているか、なぜ貢献すべきかを理解していますか。
従業員が不用意に敵を助けるのを防ぐには、彼らを教育することが最善の方法です。 あなたの会社が直面する潜在的な脅威について、彼らに伝えてください。
従業員に、組織のセキュリティにおいて自分たちが果たす役割を認識させる。
日々のワークフローで使用する簡単なセキュリティの実践方法について教える。 これは、ソーシャルエンジニアリングからスタッフを保護し、デフォルトのパスワードに固執するなどの単純なセキュリティミスを防ぐのに役立ちます。
バックグラウンドチェックを行う
誰が働いているか知っていますか。
これにより、組織内の二重スパイを見つけるリスクを最小限に抑えることができます。
特に特権的なアクセスを持つ従業員がスパイにならないように、時々このチェックを繰り返すとよいでしょう。
適切な解雇手順を作成する
元従業員が会社のデータにアクセスしないという確信がありますか?
多くの場合、企業スパイは仕事の最後の数週間で実行されます。 従業員の資格情報は、解雇後も有効であることが多いため、悪意のある目的で機密データにアクセスすることができます。
元社員による潜在的な産業スパイ行為から会社を守るために、適切な解雇手順を作成し、実施する。
社員の行動を監視する
社員が勤務時間中にオンラインで何をしているか?
従業員のオンラインプレゼンスを監視しない限り、従業員が悪意を持って、意図的に、または不注意に行動しているかどうかはわかりません。
特に、システム管理者や上層部などの特権ユーザーに目を配ることが重要です。 彼らは、通常のタスクを実行しながら簡単に情報を収集し、異常な行動をミスとして説明することができます。
従業員の監視は、すべての従業員の行動を完全に可視化し、データの盗難を検知してタイムリーに対策を講じることを可能にします。 また、従業員を監視することで、自分の行動が記録されていることがわかるため、日和見主義の従業員がデータを盗むことを抑止できます。
こちらもお読みください。 インサイダー脅威プログラムを構築する方法
Ekran System – 産業スパイを防止する監視ソリューション
Ekran Systemは、産業スパイを含むインサイダー脅威に対抗するために特別に設計された、普遍的な従業員活動監視ソリューションです。
権限のレベルに関係なく、すべてのユーザーの行動を監視することができ、システム管理者や企業秘密や財務情報にアクセスできるユーザーの行動を制御することができます。
特に、Ekran Systemは産業スパイの検出と防止のために以下の機能を提供します:
アクセス管理とユーザー活動の監査
- Ekran SystemのPASMソリューションは、最小特権原則の実行を支援します。 これは、特権ユーザーと一般ユーザーアカウントのアクセス管理を提供します。 特定のユーザーがアクセスできるエンドポイントを指定したり、セッションの時間を制限したり、一時的および永久的な認証情報を提供したりできます。
監視と調査
- 画面のビデオ録画。 便利な YouTube のようなプレーヤーであらゆる種類のアカウント セッションを見ることができ、ユーザー名と IP でフィルタリングすることができます。 動画は、訪問したURL、入力したキーストローク、開いたアプリの名前など、テキストメタデータのレイヤーでインデックス化されます。
- Ekranは、ユーザーエンドポイントの入力および出力オーディオストリームを記録できます。 記録された音声は、さらなる分析のためにエクスポートすることができます。
- Key episode search. 高度なセッション分析により、現在のセッション内および記録されたすべてのセッションにおいて、さまざまなパラメーターでエピソードを検索することができます。
脅威にリアルタイムで対応
- ユーザーおよびエンティティの行動分析(UEBA)は、ユーザーの行動を分析し、異常な行動を検出する人工知能搭載のモジュールです。 UEBAモジュールは、データ漏洩を未然に防ぐのに役立ちます。
- Actionable alert system. アラートテンプレートの豊富なコレクションに加え、開いたURL、プロセス名、接続されたUSBデバイスなどのあらゆる疑わしいイベントに基づいて、カスタムアラートルールを設定することができます。 システムが疑わしいイベントを識別すると、セキュリティ・チームは通知を受け取り、直ちに対処することができます。
- 自動化されたインシデントレスポンス。 セキュリティチームが対応する前に、自動応答がデータを保護します。 リスクレベルを割り当て、ユーザーのブロック、アプリケーション(またはプロセス)の終了、接続された USB デバイスのブロック、警告メッセージの表示、およびその他のオプションから選択することができます。 上記のベストプラクティスに従い、Ekran Systemをユーザー監視ツールとして使用することで、産業スパイを確実に防止し、外部からの脅威と内部からの脅威の両方から企業を保護することができます。