【プロが解説】知的財産の盗難を防ぐための7つのベストプラクティス

 

本日は、内部不正対策システム「Ekran」を販売する「Ekran System社」が2021年5月に公表しているブログ「7 Best Practices to Prevent Intellectual Property Theft」より、知的財産権とは何か、そして知的財産権を盗まれないための七つの手法について解説していきます。  


独創的なアイデアや製品開発工程などの企業秘密は、企業の価値を高め、競合他社に差をつける武器です。しかし、市場競争の激化に伴い、知的財産（以下IP）の盗用や漏洩のリスクが高まっています。IPを継続的に活用するためには、基本的なセキュリティポリシーと手順を確立し、機密データを保護することが重要です。

この記事では、IP保護の重要性と、IPが盗まれる可能性について説明します。また、企業のアイデアや創造物を悪意あるアクターから守るための7つのベストプラクティスをご紹介します。
 

知的財産が重要な理由とその保護方法

知的財産（以下IP）とは、芸術作品、デザイン、画像、映像、シンボル、名前など、創造物を指す財産のカテゴリーです。個人でも企業でもIPの所有者になることができます。

アイデアや創作物をIPとして主張する法的権利があることで、IP所有者は自分の作品から利益を得て、それを保護し、コピーを防ぐ権利を得られます。IPの概念は、イノベーションを促進し、経済、技術、科学、芸術、その他の分野の進歩に貢献しています。

ガートナーによるIPの定義

IPの所有権を主張するために、個人や企業は、著作権、特許権、商標権、企業秘密などを通じて知的財産権（IPR）を確立します。知的財産権によって、クリエイターは自分の製品が評価されて利益を得ることができるだけでなく、他人が自分の創作物や発明を使用することで利益を得ることができます。

自社のIPを守ることは重要です。競合他社が自社のアイデアや創作物に酷似したものを利用することを許してしまうと、ビジネスの競争力や収益源を失い、市場評価も低下してしまいます。 



承認されていない者や悪意のある従業員がIP関連データにアクセスすると、IPの法的所有者よりも早く、安く、アイデアを盗み、オリジナル製品を市場に投入することが可能になってしまいます。
ここでは、IPの盗用とそのリスク、そしてその結果について詳しく説明します。

知的財産の窃盗とは何ですか？

知的財産の窃盗とは、人や組織のアイデア、発明、創造的な製品、その他の種類のIPを奪う行為のことです。IPの盗難が企業に与える影響としては、競争力の低下、風評被害、事業成長の鈍化、顧客の信頼の喪失などが挙げられます。

IPの窃盗は組織にとって大きな損失となり、国レベルでは相当な額になる可能性があります。Commission on theft of American Intellectual Property（米国知的財産権の盗難に関する委員会）」は、報告書[PDF]の中で、米国におけるIPの損失による年間コストは2,250億ドルから6,000億ドルに及ぶと推定しています。
また、サイバーセキュリティの侵害によって悪意のある行為者がデータを盗むと、その侵害が顧客、従業員、パートナーの他の機密データに影響を与える可能性があるため、企業はコンプライアンスや法的問題に直面することになります。このように、侵害を受けた企業は、訴訟に労力と資源を費やすことで、さらなる発展と成功に向けて注力できなくなる可能性があります。

 

デジタル化された現代において、IPを盗む者は、現在および過去の従業員、競合他社、ハッカーなどが存在します。企業のデータを不正に取得する際にIPを大量に盗むことができることから、IPの窃盗が主な動機になることもあれば、副次的な犯行になることもあります。
不正な個人や組織は、IPを盗んだり、既に盗まれたアイデアや創作物を購入することで、オリジナルのIPを持つ企業よりも早く、安く製品を作ることができてしまいます。IPの盗用により、オリジナルのIPを持つ組織は、自分たちのアイデアのコピーが盗用され、半額で売られている状況で競争をすることになるかもしれません。

ここでは、IPの窃盗によく見られる3つのシナリオについて詳しく説明します。

ハッキング

サイバー犯罪者は、さまざまなフィッシング手法を用いて、組織の機密データやIPに不正にアクセスします。IPの窃盗の大部分は、国家が支援する攻撃者を含むマルウェアの侵入によって可能になっています。
 
例えば、攻撃者はキーロガー（ユーザーのテキスト入力情報を不正に取得する悪意のあるソフトウェア）を使用します。また、Man-in-the-Browserと呼ばれるマルウェアをブラウザに注入して、ユーザーがウェブページやアプリケーション上で入力したり見たりした内容をすべて閲覧・取得することもできます。IPデータにアクセスするもう一つの方法は、クロスサイト・スクリプティング攻撃を利用したり、ウェブページ内に悪意のあるオブジェクトを注入することです（ドライブ・バイ・ダウンロード）。
 



2020年には、攻撃者がマルウェアを使ってCOVID-19ワクチンに関連するヘルスケアIPを盗みました。このような攻撃を受けたため、ワクチンメーカーの1つであるDr. Reddy's Laboratoriesは、いくつかの工場を閉鎖しなければなりませんでした。
続いて、もう一つIP盗用の衝撃的な例を紹介します。American Superconductor Corporation（AMSC）が10億ドル以上の株式価値を失うというものがありました。サイバー犯罪者は2011年にこの企業の企業秘密を盗みましたが、2018年になってようやく違約金を支払う義務が生じました。
 

特権の乱用

従業員や下請け業者が、組織の機密データやIPへのアクセス権を悪用し、競合他社への売却や自分の起業に利用する目的で、それらを盗み出す可能性があります。ユーザーのアクセス権のレベルが高ければ高いほど、IPの窃盗のリスクも高くなります。そのため、特権的なユーザーや第三者には常に注意を払う必要があります。もう一つの可能性は、特権を持っていた元従業員の行為です。まだ企業ネットワークにアクセスが出来てしまう場合や、会社を辞める前にバックドア・アカウントを作成した場合、あるいは辞める前にデータを盗むことに成功した場合といった、元従業員によるデータ窃盗です。 



2018年、Hongjin Tanは、勤務していた会社にとって重要な価値のある機密・制限付きの研究文書をコピーしました。また、別の競合企業と交渉し、仕事の見返りに機密情報を共有することを約束しました。その結果、Tanは企業秘密の窃盗、不正送信、不正保有の罪で起訴されました。
また、有名なIPの窃盗事件では、某大手自動車メーカーとその元従業員との間でいくつかの訴訟が行われました。この訴訟では、自動車メーカーのソフトウェア「Warp Drive」に関するファイルを従業員の個人的なDropboxアカウントに移動させたり、機密情報を記者に漏らしたりしたことなどが問題となりました。

また、世界最大の検索エンジンを持つインターネットサービス企業も特権濫用の被害者となっています。同社の元社員であるAnthony Levandowski氏は、企業秘密の窃盗および窃盗未遂の罪で起訴されました。Levandowski氏は、仕事を辞める前に、企業の自律走行車の研究に関する重要な情報を含む14,000以上のファイルをダウンロードすることに成功しました。

ヒューマンエラー

従業員が原因で発生したデータ漏えいは、必ずしも悪意によるものではありません。多くの場合、従業員は、不注意、サイバーセキュリティに対する意識の欠如、疲労などにより、危険なミスを犯します。そして、ひとたびデータ侵害が発生すると、IPを含むさまざまな種類の機密情報が流出する可能性があります。

 従業員は以下のような方法で機密情報を暴露することがあります。

〇 IPデータを含む電子メールを誤って間違った相手に送ってしまう

〇 マルウェアの注入につながるフィッシングメールをクリックする

〇個人の電子メールアカウントにデータを転送する

〇自宅で仕事を終えるために、機密データをオフィスから（USBドライブやラップトップに）持ち出す

〇安全でないサービスやメッセンジャーを使ってIPドキュメントのデータを共有する

〇機密データを含むクラウドベースのドキュメントに誤って広いアクセス権を設定する

〇パスワードの設定や企業ネットワークへのアクセス時に、組織のサイバーセキュリティポリシーを無視する

偶発的なデータ漏洩は依然として大きな問題です。Egress Software Technologies社の調査によると、セキュリティ専門家の83％が、従業員のミスによって顧客や企業の機密情報が漏えいする危険性があると考えていることが明らかになりました。



Ponemon社の「2020 Cost of Insider Threats Global Report」によると、サイバーセキュリティインシデントの62%に従業員や契約社員の過失が関与しているとのことです。このようなインシデントのコストを合計すると、1つの組織あたり年間平均458万ドルになります。



盗まれたIPへの対処には、長い時間と、多くの費用がかかり、疲弊するプロセスです。
企業は、IPの盗用の事実を証明する必要があり、訴訟に多くの労力と費用をかける必要があります。
たとえ勝訴したとしても、法的な争いには何年もかかるでしょう。
したがって、特許、企業秘密、著作権、商標を可能な限り安全に保つことが最善の方法です。ここでは、IPの損失を防ぐために役立つ7つの効率的な方法をご紹介します。

知的財産の盗難を防ぐための7つのベスト・プラクティス

 
知的財産を守るには？
IPを保護するということは、企業のIT環境や物理的空間の中で機密データを確実に保護することを意味します（例えば、印刷された契約書や署名入りの契約書を安全に保管することなど）。
この記事では、デジタルスペースにおけるIPの保護に焦点を当てます。その方法を具体的に探ってみましょう。

１．最も価値のあるデータを特定する

自社のIPを守るためには、どのようなIPがどこにあるのかを正確に把握する必要があります。
どのようなデータが会社のIPなのか、なぜそれを慎重に扱うことが重要なのかを、すべての従業員が明確に理解していることを確認してください。そのためには、役員とすべての部門（人事、マーケティング、営業、研究開発など）との間でコミュニケーションを図り、全員がIPの重要性を認識し、適切に識別して保護できるようにします。
IPを特定することは非常に重要です。そうしなければ、関連するセキュリティポリシーや手順を適用しても、IPを保護することができないからです。IPの場所を特定する際には、以下のような物理的な場所とデジタルな場所の両方に注意を払う必要があります。

〇クラウドアプリケーションおよびファイル共有サービス

〇企業ネットワーク、サーバ、ストレージ・ドライブ 

〇従業員の個人デバイス 

〇サードパーティのシステムおよびアプリケーション

〇プリンター、コピー機、スキャナー、ファクシミリ

 2. ユーザーのIPへのアクセスの見直し

機密データへのユーザーのアクセスを定期的に見直すことは、権限の乱用やセキュリティ侵害のリスクを軽減するの上で役に立つ、優れた手法です。ユーザーアクセスレビューは、重要なデータやリソースへのユーザーのアクセスを、日常業務に必要な情報に限定することを目的としています。このレビューでは、ユーザーの役割、アクセス権と特権、およびユーザー認証情報を再評価します。

例えば、ある社員が組織内で部署を異動し、IP関連のデータを扱うことがなくなったとします。異動後もアクセス権限が制限されなければ、その従業員は機密情報にアクセスする可能性があり、これは内部脅威のリスクとなります。

このような内部脅威リスクを軽減し、アクセス管理を強化するためには、EkranのPAM（Privileged Access Management）ツールセットを使用することができます。PAMは、アカウントごとに設定するのではなく、ユーザーの役割を設定する役職ベースのアクセスコントロールを提供します。また、誰がいつ何にアクセスできるかを決定するために、手動でアクセス要求と承認のワークフローを提供します。

3. サイバーセキュリティのギャップや弱点を見つける

ユーザーのアクセス権を見直すこととは別に、サイバーセキュリティにギャップがないかを定期的にチェックすることを強くお勧めします。これは、もし自分が攻撃者だったらと想像し、攻撃者が最初に狙う場所を特定して、その場所を保護することです。
サイバーセキュリティの弱点を見つけるために使用する実証済みの戦術は、サイバーセキュリティのリスク評価を行うことです。この評価により、サイバー攻撃者によって侵害される可能性のあるIPを特定し、それらの資産に対する様々なリスクを特定することができます。IP以外にも、ハードウェア、ネットワーク、企業のデバイス、顧客や従業員のデータがどれだけ安全かを評価する必要があります。
サイバーセキュリティ上のギャップや弱点を特定したら、それを修正し、将来的に潜在的な欠陥を回避するための対策を講じます。例えば、すべてのオペレーティング・システムとソフトウェアを最新の状態に保ち、可能であればソフトウェアの自動更新を有効にします。

4. データセキュリティポリシーの策定

強力なサイバーセキュリティポリシーは、従業員が従うべきルールを設定することで、企業の資産やIPを含む機密データの保護を確実にします。
 

サイバーセキュリティポリシーを包括的かつ効率的なものにするために、以下の情報を含めることを検討してください。

 

• プラットフォーム間でのパスワードの再利用制限を含む、パスワード管理のルール
• モバイルアプリケーションおよびオンラインアカウントのプライバシー設定に関する明確なルール
• 自分のデバイスを組織内に持ち込むポリシーに関連する情報
• 機密データの使用に関する従業員の説明責任に関する情報
• 企業のシステム、ネットワーク、およびその他のアカウントを使用する際のセキュリティルール
• ソフトウェアのダウンロードおよびインストールに関する規則

 

5. 従業員の行動を監視する

従業員の行動を継続的に監視することで、企業はすべてのユーザーが企業ネットワーク内で安全に作業できるようにすることができます。従業員は、自分の行動が監視されていることを知っているので、推奨されるサイバーセキュリティ対策を遵守し、マルウェアのダウンロードやデータ漏洩につながる危険性のある怪しげなWebサイトにはアクセスしない傾向にあります。また、IPの盗難があった場合、ユーザーの行動を監視する記録は、攻撃の影響を判断するための調査プロセスの迅速化に役立ちます。
Ekranは、さまざまなタイプのユーザーに対して、以下のような幅広い監視機能を提供しています。

• 従業員の監視
• 特権ユーザーの監視
• サードパーティ・ベンダーの監視

 
不注意または故意にIPデータを漏洩する可能性のあるすべての関係者を監視することで、データ盗難のリスクを大幅に軽減することができます。Ekranは、特定のWebサイトへのアクセスや特定のアプリケーションの起動などに対して、事前に定義されたアラートやカスタムアラートを設定することができる、ユーザーフレンドリーなインシデントレスポンス機会を提供します。これらのアラートにより、潜在的な危険性を即座に特定し、リアルタイムで調査することができます。

6. 潜在的なインシデントを防ぐ

ユーザーを監視するだけでなく、潜在的な脅威を即座に防ぐことができる高度な技術を活用する必要があります。そのためのソリューションとして考えられるのが、UEBA（User and Entity Behavior Analytics）と呼ばれるものです。
UEBAは、人工知能アルゴリズムに基づいて、ユーザーの行動のベースラインを確立し、ユーザーが不審な行動をとった場合には、セキュリティ担当者に自動的に警告を発します。これは、ユーザーの悪意の表れであったり、ユーザーのアカウントがハッキングされたことを示すものであったりします。
EkranのUEBAモジュールのおかげで、IPの盗難が実際に起こる前に、ユーザーの異常な行動に即座に気づき、それがセキュリティインシデントの結果であるかどうかをチェックすることができるようになります。

7. 従業員の教育

従業員は、企業のIPやその他の機密データを脅かす可能性があるため、サイバーセキュリティに関する教育を行うことが非常に重要です。そうすることで、偶発的なデータ漏洩を防ぐことができる可能性が高くなります。
2020年には、リモートワークへのシフトを余儀なくされたことで、従業員のサイバーセキュリティ意識がさらに重要な意味を持つようになりました。その結果、人に対するセキュリティ対策を中心としたアプローチが再びトレンドとなり、企業は人を防御の対象とするようになりました。このアプローチでは、制限的なセキュリティ管理を強調するよりも、従業員に適切なサイバーセキュリティ教育を提供し、組織が従業員を信頼していることを示すことに力を注ぐ方がよいとしています。
サイバーセキュリティへの意識を高めるためには、以下のようなさまざまな方法が考えられます。

また、フィッシングは、サイバー犯罪者にとって最も一般的な手口の一つであるため、従業員がフィッシング攻撃を認識し、回避する方法を学ぶことも検討してください。
 

結論

いかがでしたでしょうか。今回は、IPの盗難と、それを防ぐための施策についてご紹介しました。
サイバー犯罪者や悪意のある従業員は、企業のIPを狙います。現代社会には、企業秘密、特許、著作権、商標などを目立たないようにコピーし、競合他社に販売するチャンスが多く存在します。しかし、だからといって、IPやその他の機密データを保護できないわけではありません。この記事でご紹介したセキュリティ対策が、お客様のサイバーセキュリティ対策の強化とIPデータの盗難防止に役立つことを願っています。ユーザーアクティビティの監視を開始し、内部脅威対策を強化する準備ができましたら、ぜひEkranの30日間トライアルをお申し込みください。
Ekranにご興味を持っていただけましたら、以下のリンクからお問い合わせください。

それでは、次回の記事をお楽しみに！