【考察付き】IPAが営業秘密管理の実態調査を発表─現場でできる情報漏えい対策とは?
独立行政法人情報処理推進機構(IPA)は、2025年8月29日に「企業における営業秘密管理に関する実態調査2024」という報告書を発表しました。この調査は、クラウドサービスの普及や生成AIの登場といった環境変化を踏まえ、現代の企業が直面する営業秘密漏えいのリスクを浮き彫りにしています。
この記事では、IPAが発表した調査資料をご紹介すると共に、筆者が考えるシステム監視/運用、SecOps、SRE担当者が取り組むべき対応の考察をご紹介します。
営業秘密漏えいの実態
IPAの調査報告書によると、営業秘密の漏えい経路として特に注目すべきは以下の項目です。
この調査から、企業はサイバー攻撃対策と内部不正防止の両面で対策を講じる必要があること、サプライチェーン全体での管理体制を強化する必要があること、そして新しい技術の利用に伴うリスクを適切に管理する必要があることが示唆されています。
外部からのサイバー攻撃
- 営業秘密の漏えい経路として最も割合が高く、36.6%を占めています
- 2020年度の調査と比較して大幅に増加しており、8.0%から36.6%に増加しています
現職従業員等の内部不正
これらの内部不正に起因する漏えいルートの選択割合が上位を占めています
- 現職従業員等のルール不徹底(ルールを知らなかった等)による漏えいが32.6%
- 現職従業員等による金銭目的等の具体的な動機を持った漏えいが31.5%
- 現職従業員等の誤操作・誤認等による漏えいが25.4%
漏えい先の多様化
- 「国内の競合他社以外の企業」への漏えい割合が特に増加しており、48.8%となっています
- サイバー攻撃等に起因する漏えいの場合、漏えい先の特定が難しい事例が増加している可能性が考えられます
サプライチェーンにおけるリスク
- 直接の取引先の管理状況を把握していない割合が18.3%
- サプライチェーンにおいて、自組織の営業秘密の取扱い状況を把握しておく必要性が増しています
クラウドサービス利用におけるリスク
- クラウドサービスを使用して営業秘密の共有を行っている割合が大幅に増加しています
- 従業員数301人以上の企業では70%以上が何らかの対策を実施している一方、従業員数300人以下の企業では対策実施率が低い傾向があります
生成AIの利用におけるリスク
- 業務における生成AIの利用について、何らかのルールを定めている割合は52.0%
- 生成AIの利用に関してルールを従業員に理解させ、実践させることが課題となっています
今すぐできる、営業秘密漏えい対策
漏えいを防ぐためには、技術的対策と管理的対策を組み合わせることが重要です。IPAの報告書でも、以下の基本的な対策が挙げられています。
基本的な技術的対策
| 対策内容 | 概要 |
|---|---|
| ウイルス対策ソフトの導入 | マルウェア感染による情報漏えいを防ぐ。 |
| ログ監視ツールによる不正アクセス監視 | 不正なアクセスや不審な動きを早期に検知する。 |
| ファイアウォールやIDS/IPSの設置・構築 | 不正な通信を遮断し、ネットワークへの侵入を防ぐ。 |
| アクセス制御ツール・サービスによる権限管理 | 従業員のアクセス権限を適切に管理し、不要な情報へのアクセスを制限する。 |
| PCのディスク暗号化や暗号化機能付きUSBの使用 | PCやUSBメモリの紛失・盗難時に情報漏えいを防ぐ。 |
基本的な管理的対策
- 社内規程の策定と周知: 営業秘密の定義、管理方法、漏えい時の対応などを明確に定める。
- 従業員教育: 営業秘密の重要性、漏えいリスク、対策方法などを従業員に周知徹底する。
- 秘密保持契約の締結: 従業員や取引先との間で秘密保持契約を締結し、法的拘束力を持たせる。
- 情報の区分管理: 営業秘密と一般情報を明確に区分し、アクセス制限を設ける。
- 入退室管理の強化: 営業秘密を保管する場所への入退室を制限する。
- テレワーク環境におけるセキュリティ対策: VPNの利用、端末の暗号化、私物端末の利用制限などを実施する。
- 生成AI利用に関するルール策定: 業務での利用範囲、入力してよい情報などを明確に定める。
【考察】現場エンジニアが踏み込むべき一歩
上記の対策は重要ですが、これらはあくまで「基本」です。クラウドとAIが主戦場となった今、現場の技術者は、さらに一歩踏み込んだ視点と行動が求められます。
ログ監視の解像度を上げ、シャドーITと戦う
「ログ監視」や「アクセス制御」は基本ですが、その「質」が問われます。システム運用監視や管理においては、以下のような対応が望まれます。
| 対応事項 | 具体的なアクション |
|---|---|
| 「ログ監視」の解像度を上げる | 単純なエラーやアクセスのログを追うだけでは不十分です。UEBA(User and Entity Behavior Analytics)のような振る舞い検知の仕組みを導入し、「いつものと違う」動きを捉えることが重要です。 例えば、「退職予定者が深夜に大量のファイルをダウンロードしている」といった異常な振る舞いを自動で検知し、アラートを発報する仕組みが求められます。 |
| シャドークラウド・シャドーITとの戦い | 従業員が勝手に利用するSaaSを完全に禁止するのは現実的ではありません。 そこで、CASB (Cloud Access Security Broker) や SSPM (SaaS Security Posture Management) を導入し、組織として利用を許可しているクラウドサービスと、そうでないサービス(シャドークラウド)へのアクセスを可視化・制御することが有効です。 これにより、シャドークラウド経由での情報漏えいリスクを低減できます。 |
インシデント前提で対応を自動化する
セキュリティインシデントは「いつか必ず起こるもの」として備えるSecOpsの基本思想に沿って、以下のような対応が考えられます。
| 対応事項 | 具体的なアクション |
|---|---|
| 検知から対応の自動化へ | ログ監視で異常を検知した後、手動で調査し、対応していては手遅れになる可能性があります。 SOAR (Security Orchestration, Automation and Response) を活用し、「特定の異常を検知したら、当該アカウントを即時ロックし、管理者に通知する」といった対応プロセスを自動化することで、インシデント対応を高速化し、被害を最小限に抑えます。 |
| 生成AI時代のDLP (Data Loss Prevention) | 生成AIへの入力情報をコントロールすることは急務です。最新のDLP製品の中には、ブラウザの拡張機能などを通じて、生成AIサービスへのプロンプトに特定のキーワード(例:「社外秘」「顧客情報」)が含まれていた場合に、送信をブロックしたり、警告を出したりする機能を持つものがあります。 このような技術的なガードレールを設けることが、ヒューマンエラーによる漏えいを防ぎます。 |
設計段階から安全なシステムを構築する (Secure by Design)
システムの信頼性を追求するSREのプラクティスは、セキュリティ強化にも大きく貢献します。「後から守る」のではなく、「設計段階から安全な」システムを目指したシステム構築も重要です。
| 対応事項 | 具体的なアクション |
|---|---|
| IaC (Infrastructure as Code) によるセキュリティ担保 | サーバーやネットワークの設定をコードで管理(IaC)することで、手動設定によるミスや「設定の揺らぎ」を防ぎます。 セキュリティ的に脆弱な設定がコードレビューで検出されたり、本番環境に適用される前に弾かれたりする仕組みを構築できます。これにより、常に承認されたセキュアな状態を維持することが可能になります。 |
| Policy as Codeによるガードレールの設定 | OPA (Open Policy Agent) に代表される「Policy as Code」の考え方を導入し、「特定のIPアドレスからしかアクセスを許可しない」「暗号化されていないストレージの作成を禁止する」といったセキュリティポリシーをコードとして定義します。 これにより、開発者が意図せず危険な構成を作成してしまうことを防ぎ、組織全体のセキュリティベースラインを強制できます。 |
まとめ
営業秘密漏えいは、企業にとって深刻な脅威です。IPAの調査が示すように、クラウドサービスの利用拡大、生成AIの登場など、新たなリスクに適切に対応する必要があります。
経営層の意識改革や全社的なルール作りといったトップダウンのアプローチはもちろん不可欠です。それと同時に、今回ご紹介したような、システム運用、監視、SecOps、SREといった現場のエンジニアが、自らの技術的な知見を活かしてボトムアップでセキュリティを強化していくことも重要です。
基本対策に加えて、振る舞い検知、インシデント対応の自動化、そして設計段階からのセキュリティ組み込み(Secure by Design)といった一歩進んだアクションを通じて、複雑化する脅威から企業の貴重な情報を守り抜きましょう。
この記事をシェア
