社員はいとも簡単に中国・ロシアのスパイとなる

1月30日(木)6時0分 JBpress

外国のスパイにとって日本企業は情報を盗み放題ともいえる

写真を拡大

 各企業におけるスパイ対策とインサイダー対策が喫緊の課題である。

 つい最近(1月25日)、わが国の安全保障上の脅威となるスパイ事案が報道された。

 当時、ソフトバンクのモバイルIT推進本部無線プロセス統括部長として通信設備の構築業務を担当していた荒木豊容疑者(48)は、金銭目的でソフトバンクの電話の基地局など通信技術に関する情報を記憶媒体にコピーして持ち出し、その記憶媒体を、ロシアの通商代表部の職員に飲食店で手渡していた。

 提供した情報の詳細は不明であるが、ソフトバンクの携帯電話回線などに対するサイバー攻撃を容易にする情報であるかもしれない。

 この事案は、スパイ事案であるとともに、インサイダー事案でもある。

 最近のインサイダー事案としては、ベネッセコーポレーションの顧客情報流出事案(2014年)と神奈川県庁HDD流出事案(2019年)がある。

 ベネッセ事案の教訓は、自動的にアクセスログを記録し、意図的な不正行為などを想定してこれらのログを定期的にモニタリングすることであった。

 また、神奈川県庁事案の教訓は、正社員に対しても、手荷物検査を確実に実施することであった。

 これらの教訓が生かされていたならば、荒木容疑者は情報を記憶媒体にコピーすることも記憶媒体を持ち出すこともできなかったであろう。

 今回のソフトバンクの事案がそうであるように、インサイダー(定義等については後述する)が、情報機関員の「協力者」であることがよくある。

 従って、国家機密や企業秘密を扱う政府機関や民間企業のインサイダー対策は、スパイ対策と一体となったものでなければならない。

 また、インサイダーは、施設内において直接情報資産(情報そのものおよび情報を記録・保管している装置をいう)にアクセスし情報資産を窃盗する場合と、自宅など施設外からネットワークを通じて情報資産を窃盗する場合がある。

 従って、インサイダー対策は、サイバーセキュリティ対策と一体となったものでなければならない。

 本稿では、同種事案の再発防止を目的として、初めにスパイ活動の実態を述べ、次にインサイダー対策について述べ、最後に企業への提言を述べる。

 本稿が、各企業のスパイ対策とインサイダー対策の資となれば幸いである。


1.スパイ活動の実態

 スパイ対策の最良の方法は、「社員教育」である。社員教育においてスパイ活動の実態、特に、工作員を獲得する情報機関員の手法を理解させ、危険な人物には近寄らないことを教えなければならない。

(1)スパイ活動の意義

 国家の外交政策、防衛政策などの立案・遂行の前提条件は相手国の国情を知ることである。すなわち、「敵を知り、己を知れば百戦危うからず」ということである。

 このため、各国は相手国に外交官、駐在武官および通商派遣団を派遣し情報収集に当たらせている。彼らは、任国政府代表との公然の接触や、新聞、出版物、見本市などから任国の政治・経済・軍事・技術情報を探知し、それらを本国に報告している。

 また、外国の情報機関は、情報機関員を外交官あるいは通商使節団の一員として相手国に送り込み隠密な諜報活動により情報を収集しようとする。

 さらに、極少数の情報機関員はジャーナリストに偽装し、あるいは偽名や偽国籍を使い、官憲の目を避けて隠密に活動している。

(2)スパイ網の構築

 スパイは、その役割から2つに分類される。情報機関員と工作員(注)である。

 情報機関員はスパイ活動と工作員の活用に熟達する外国情報機関の一員であり、自ら情報を収集するほか、工作員を獲得・運営することを目的としている。

 工作員は、一般に日本国内において獲得される。

 日本国内で獲得される理由は、人種が違うと目立ちやすいことや日本在住者の持っている仕事関係や交友関係が利用できるなどである。

 大使館などに派遣された情報機関員は、工作員を獲得し、スパイ網を構築する。これにより、長期にわたり信頼できる情報が入手できるようになる。

 工作員が標的とする組織の内部者または元内部者であれば、標的組織のセキュリティ上の弱点を容易に知ることができるであろう。

(注)工作員は、情報機関員の完全なコントロール下にある狭義の工作員から、情報機関員に協力していることを承知している協力者、情報機関員に協力していることを承知していない協力者まで広範である。どこまでをスパイと呼ぶかは確定していない。

(3)協力者の獲得

 協力者を獲得する情報機関員の手法を知ることはスパイ対策にとって極めて重要である。過去において日本で発生した事案から、その手法は次のように推測することができる。

 まず、情報機関員は、学会、講演会、展示会などの公開の場で、 多くの人に声をかけ、さりげない会話をしつつ、標的とする組織 (または情報)に何らかの関係を有する人物を探り出し、目をつける。

 数日して、情報機関員は当該者を食事に誘う。一度、食事をご馳走になったり、みやげ物をもらったりすると、その好意に恩返ししたいという人間の基本的な性向を利用しつつ、彼らは接触を重ねる。

 幾度かの接触により、当該者の思想・信条、金銭状況、家族状況、組織に対する不満などを把握して、当該者の弱点をつき、 協力あるいは情報の提供を働きかける。

 初めのうちは公刊資料を要求し、徐々に秘匿度の高い情報を要求するようになる。

 そして、当該者はいつしか情報機関員の協力者となり、情報機関員の要求に応じて秘密情報を提供するようになっている。

 本人にその気がないのに、無意識のうちに情報機関員に取り込まれるのである。

 スパイ事件のほとんどは金銭的報酬によって取り込まれている。その他、所属団体に対する不満、自分や家族の健康不安、スパイという仕事への憧れなどが弱点に挙げられる。

 上記以外に、情報機関員は卑劣な手段を用いることもある。

 当該者に女性を近づけ、当該者がその女性と関係をもったところで脅して協力者として取り込む(いわゆるハニートラップ)、協力者として使われていることが気づかないよう、最初は簡単なことを依頼し、謝礼などを受け取らせ、最後は暴露すると脅し協力者として取り込むなどである。


2.インサイダー対策

(1)インサイダーの定義等

ア.定義

 インサイダーの世界共通の定義は存在しない。

 米国のカーネギーメロン大学のコンピューター緊急対応センター(Computer Emergency Response Team:CERT)は、「現もしくは元従業員、契約社員、派遣社員、又はビジネス・パートナーで、組織のネットワーク、システム、又はデータへのアクセス権が与えられている者もしくは与えられていた者で、組織の情報もしくは情報システムの機密性、完全性、または有用性に悪影響を与えるような方法で、このアクセスレベルを故意に超えて使用する者またはこのアクセス権を悪用する者」をインサイダーと定義している。

 一方、英国の国家インフラストラクチャー保護センター(Centre for the Protection of National Infrastructure:CPNI)は、「合法的なアクセス権を悪用する者」と簡潔に定義している。

イ.インサイダーのタイプ

 インサイダーは、様々な目的・動機により本人が保有するアクセス権を悪用する。これらのインサイダーのタイプは次の3つに分類できる。

①最初からポストを利用しようとする意図を持って、計画的に組織に就職したインサイダー(意図的に就職したインサイダー):

 このタイプのインサイダーには、国家または企業から資金提供を受けたスパイ(経済スパイや産業スパイなど)、競合ビジネスを起業するもくろみを持って就職する者が含まれる。

②入社時には悪意を持っていなかったが、雇用中に何らかの要因により忠誠心が失われたインサイダー(雇用中に忠誠心が失われたインサイダー):

 忠誠心が失われる要因には、「私生活・職場環境の変化」と「第三者による勧誘」がある。勧誘する第三者がスパイの場合、インサイダーはスパイの協力者となる。

③職場に対する不満から、退職前後に、組織に復讐しようとするインサイダー(退職前後に、組織に復讐しようとするインサイダー):

 職場に対する不満には、解雇、雇用主や監督者との反目、異動、降格、減給、またはボーナスの減額などが含まれる。

(2)インサイダー対策

 インサイダー対策の要訣は、まず適切なサイバーセキュリティ対策を講じた上で、インサイダー脅威が現実であることを組織全体で理解・認識し、情報技術を超えて、組織のあらゆる機能を動員し、特に人事管理機能(採用時調査、セキュリティ評価など)を活用して、インサイダー対策を実施することである。

 しかし、残念ながら日本ではインサイダー対策は行われておらず、代わりに内部不正対策が行われている。

 そして、各企業は独立行政法人情報処理推進機構(IPA)が作成・公表している「組織における内部不正防止ガイドライン」に基づき、内部不正対策を実施している。

 同ガイドラインでは、内部不正対策における人的管理上の方策として、次の3つが挙げられている。

①教育による内部不正対策の周知徹底
②雇用終了の際の人事手続き(秘密保持契約の締結)
③雇用終了及び契約終了による情報資産等の返却

 このように、同ガイドラインには、残念ながら諸外国で実施されている人的セキュリティ対策が欠如している。

 諸外国の人的セキュリティ対策の主要な目的は、セキュリティに関し懸念がない人物だけが採用されていることを保証することと、セキュリティに関し懸念がある従業員を発見し、その懸念が適切に管理されていることを保証することである。

 そして、具体的な対策として「採用時調査(身元確認)」と「従業員の継続的な監視と指導」が重視されている。

ア.採用時調査(身元確認)

 採用時の調査の目的は、組織に対してインサイダー脅威となる人物(スパイ)や将来インサイダーになりやすい人物を特定し、採用しないことである。

 すべての組織は適切な基準に基づき採用時調査を実施しなければならない。採用時調査には、身元調査、職歴調査、犯罪歴調査、財務調査などがある。

 調査の手段は、応募者が提出する書類の真正性の確認と面接による応募者の性格や誠実性、信頼性などの評価である。

 最近では性格調査アンケートの使用も考慮されている。これらの採用時調査により、応募者が重要な情報を隠蔽していないか、さもなければ応募者が身元や本心を偽っていなかが明らかにならなければならない。

 ちなみに、諸外国では政府機関の職員の適格性を確認するために「秘密取扱者適格性確認制度」が導入されている。

「秘密取扱者適格性確認制度」とは、特定の秘密の取扱いについては、その秘密を取り扱うことについての適格性を確認できた者に限定して行わせる制度である。

 そして、その目的は、セキュリティに関して懸念がない人物だけが採用あるいは雇用されていることを保証すること、および付与するクリアランス(秘密情報取扱資格)に応じたセキュリティ審査を行い、その審査に合格した者だけが、クリアランスに該当する秘密へのアクセスが許可される制度である。

 わが国でも、2013年12月の特定秘密保護法の成立により、行政機関や民間事業者において、特別秘密を作成・取得する業務等に従事する者を対象とした、「秘密取扱者適格性確認制度」が法制化された。

イ.従業員の継続的な監視と指導

 従業員の継続的な監視と指導の目的は、セキュリティに関し懸念がある従業員を発見し、適切な指導によりインサイダー脅威を軽減するとともに、必要の場合は、取り除くことである。

 人間は弱いものである。昨日まで忠実だった従業員が、翌日にはインサイダーとなる場合もある。

 従業員は、環境の変化に影響されやすく、それが態度や行動の変化として現われる。従って、管理者は、潜在的なインサイダー脅威であることを示すあらゆる変化または疑わしい行動を察知するために、採用後も部下の態度と行動を観察し続けなければならない。

 潜在的なインサイダー脅威であることを示す徴候には、

①ライフスタイル(人生観・価値観・ 習慣など)の重大かつ不可解な変化

②金銭的支出の突然の変化

③仕事への関心の突然の喪失

④勤務パターンの変化、例えば、単独での作業、普段と違う時間帯の作業、休暇をとりたがらないなど

⑤権限外の職場区域への異常な関心

⑥頻繁かつ不可解な欠勤

⑦定められたセキュリティ手順の度重なる不履行などがある。

 しかし、従業員の不審な行動はしばしば見落とされるので、できるならば従業員に対する定期的なセキュリティ評価(面接や評価フォームによる調査)を実施すべきである。

 ここで、インサイダー対策におけるライン管理者の重要性を指摘しておく。

 部下を直接監督・管理する役割を有するライン管理者は、潜在的なインサイダー脅威であることを示す徴候を探知する責任と、本人の病気や、家族の死や病気、仕事上の悩み、処遇への不満などの個人的な問題を抱えた従業員が、個人的な判断能力を弱め、ひいては第三者の勧誘に対する脆弱性を高めるような環境にある時に、部下の個人的な問題を適切に対処する責任を有している。

 しかるに、ライン管理者の「インサイダー脅威であることを示す徴候を探知する能力」や「部下の個人的な問題を適切に処理する能力」は様々である。

 そのような能力を発揮することができないライン管理者に対しては、満足する技量に達するまで教育を継続しなければならない。そのためには、次のことを考慮する。

・ライン管理者の職務明細書にセキュリティ上の責任を含める。

・部下の異常な行動を探知し、問題を処理するための明確な手順を定める。

・シナリオに基づく役割演習を実施し、能力向上を図るとともに、適正に評価する。


3.企業への提言

 本サイトに掲載された拙稿「外国人が増えスパイも急増、危うし日本の安全=https://jbpress.ismedia.jp/articles/-/58717」(2019.12.26)でも述べたが、わが国では、いまだスパイ防止法が制定されていない。

 このため、国民の防諜意識が極めて低い。各企業においては、従業員の防諜意識を向上するために管理職を含む全従業員を対象とした「社員教育」を実施すべきである。

 また、各企業は、従業員の大使館などの外国公館の職員との接触を禁止すべきである。仕事上、やむを得ず接触する場合は、届け出制とし、かつ2人以上で接触することを義務づけるべきである。

 ところで、インサイダー事案が起こると、各企業のセキュリティ担当者は、従業員の意図的な不正行為などを想定していなかったという主旨の発言している。

 まさに、インサイダーに対する危機意識が欠如している。

 既述したが、最近のインサイダー事案の教訓は、「自動的にアクセスログを記録し、意図的な不正行為などを想定してこれらのログを定期的にモニタリングすること」および「正社員に対しても、手荷物検査を確実に実施すること」である。

 各企業は、少なくても、この2つを確実に徹底すべきである。

 最後に、いくら強固なサイバーセキュリティ対策を講じても、社員として組織内部に潜入したスパイやスパイの協力者による侵害行為を阻止することは極めて困難である。

 企業、特に政府の秘密を取り扱う企業や最先端技術を保有する企業は、スパイまたはスパイの協力者の潜入を想定した人的セキュリティ対策(セキュリティに関し懸念がある人物を採用しないこと、およびセキュリティに関し懸念がある従業員を取り除くこと)を講じることを推奨する。

筆者:横山 恭三

JBpress

「スパイ」をもっと詳しく

「スパイ」のニュース

トピックス

BIGLOBE
トップへ