699 - [´・ω・`] 4.tor-exit.nothingtohide.nl 2023/10/07(土) 19:43:47.64 ID:RmUMq+nu0
山岡裕明
セコム系、パソコン画面撮影しようとすると警告 機密漏洩対策 - 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC0457Z0U3A700C2000000/
https://archive.md/Jea8C
スマホをPC画面に向けるとインカメラで検知する(写真はイメージ、TMJ提供)
企業の機密情報保護対策が進化している。セコム系のコールセンターは業務用パソコン(PC)に向けられたスマートフォンを人工知能(AI)で検知し、画面撮影を阻止する技術を導入した。人物の姿も判別し、第三者の「のぞき見」まで防ぐことができる。
「スマートフォンを検知しました。パソコンに向けないでください」――。セコム子会社のTMJ(東京・新宿)が札幌市内で運営するコールセンターでは、従業員がパソコン画面にスマホを近づけると画面が切り替わって警告を表示する。
このコールセンターは運転免許証などで本人をオンラインで認証する「eKYC(電子的本人確認)」の業務を金融機関などから受託している。口座開設のために送られてくる各種の身分証の画像データを扱うため、パソコン画面の撮影は即座に個人情報の流出につながる恐れがある。
パソコンのインカメラを使って画面に向けられたスマホを検知するシステムは、NTTデータと日本総合研究所が折半出資するJSOL(東京・千代田)が開発した。人間の姿やカメラの形状を学習したAIが異常を検知する。
パソコンを操作する人物の背後からパスワードなどを読み取る行為は「ショルダーハッキング」と呼ばれる。アナログな手法だが、専門家の間ではサイバーセキュリティー上の脅威の一つとみなされている。JSOLの検知システムでは第三者がパソコン画面をのぞき込んだ場合には顔写真を記録する。
https://archive.md/35pmu
PCのカメラにスマホが映り込むと検知し、画面撮影による情報漏洩を防ぐ(JSOL提供)
常にパソコンのインカメラで従業員らの様子を撮影し続ければ、プライバシーの侵害と受け取られかねない。JSOLではカメラやのぞき見を検知した場合に限って映像を記録する機能を持たせた。同社の開発チームの砂子一徳氏は「導入企業には従業員にシステムの仕組みを説明するよう契約の中で求めている」と話す。
コールセンターを運営するTMJの吉田拓也プログラム・マネジャーは「ルールとして職場へのスマホ持ち込みは禁止している」と説明する。それでも悪意を持ったスタッフを完全に排除するのは難しい。パソコン画面に向けられたスマホを検知するシステムは「万一の不正を防ぐ取り組みだ」と強調する。
テレワーク普及、上司の目届かず
従来の企業の情報漏洩対策は従業員らがオフィスで働くことを前提としてきた。業務用パソコンに差し込まれる個人のUSBメモリーを検知したり、社員ごとにデータのアクセス権限を設定したりするなど、パソコン操作の不正を防ぐ取り組みが多かった。
新型コロナウイルスの感染拡大に伴うテレワークの普及によって、職場の上司や同僚の目が届かない環境で働く従業員が増えた。パソコン操作の異常などを検知する従来の情報漏洩対策では対処できないリスクが増大している。
4月にはロシアによるウクライナ侵攻などをめぐる米軍の機密情報を流出させたとして、空軍州兵の21歳の男性が連邦捜査局(FBI)に逮捕された。男性は機密文書の印刷物を100枚以上撮影し、その画像を外部に送信したとされる。
電子メールで送信する文書の中に「社外秘」などの文字列が含まれているのを検知するツールはすでに存在する。ただ、文書を画像ファイルとして送信した場合に内容を判別するのは難しい。米セキュリティー大手トレリックスの桜田昌己氏は「画像ファイルは情報漏洩対策の盲点だった」と話す。
https://archive.md/ykAGB
トレリックスでは光学式文字読み取り機能(OCR)を使い、メールなどに添付して外部に送られる画像ファイルを解析する取り組みを始めている。例えば画像内の「セイ」「メイ」「トウキョウト」といった文字の並びを検知し、身分証が写り込んでいるかどうかを判断する。
プライバシーに配慮する技術も
個人情報保護に積極的な欧州連合(EU)では従業員や顧客に関するデータを企業側が収集することがプライバシー侵害にあたるとの指摘もある。こうした懸念に対応するため、欧米では金融業を中心に機密情報の検出精度を高める「EDM」と呼ぶ技術の導入が始まっている。
EDMでは企業は機密データをあらかじめ一定の手順に従って「ハッシュ値」と呼ぶ不規則な文字列に変換して保存する。従業員らが外部に送信しようとするデータについても同じ手順でハッシュ値に変換し、複数の要素を合致させることで機密データであるかを判断する。
https://archive.md/1PP4n
データを元通りに戻すことを前提とする暗号化技術と異なり、ハッシュ化した情報の解析は難しい。企業側は送信データそのものを読むことはできないため、従業員らのプライバシーは保たれる仕組みだ。
企業の情報漏洩対策に詳しい山岡裕明弁護士は「従業員のメールの送受信記録などを取得する場合、必要性の高い項目に絞ったうえで周知を徹底する必要がある」と指摘する。企業にはデータ保護と従業員の双方に目配りするバランス感覚が求められている。
漏洩件数、3年で2倍 知財保護も課題
東京商工リサーチによると2022年に上場企業とその子会社で個人情報の漏洩・紛失事故があったと公表したのは150社、件数は165件で、いずれも3年前からほぼ倍増した。社員に悪意がなくてもウェブサービスで公開範囲の設定を誤ったり、マルウエア(悪意のあるプログラム)に感染したりするケースがあった。
機密情報の漏洩や持ち出しを防ぐ仕組みは、外部流出が発覚した場合にも役立つ。影響を受けた範囲と対応策について各国・地域の個人情報保護当局に報告できなければ、巨額の制裁金を科される可能性もあるためだ。
https://archive.md/Ke4Gd
従業員の転職による機密情報の漏洩にも備えが必要だ。退職者によって知的財産などが持ち出された場合、企業は民事と刑事の両面で法的なリスクを負う可能性がある。米国の民事訴訟に巻き込まれた場合には、関連するデジタルデータを収集して証拠開示する「eディスカバリー」と呼ぶ手続きが必要になることもある。
PwCアドバイザリーの池田雄一パートナーは「退職した社員の端末を初期化して別の社員に支給し、証拠を失ってしまった事例もある」と指摘する。データだけでも別の記録媒体に残すなどの対策が必要だと話している。
(サイバーセキュリティーエディター 岩沢明信)