【前回のコラム】「突然の従業員拉致・誘拐事件、あなたは他人の命の値段を交渉できるか?—『リスクの神様』監修者が語るドラマの見所、危機管理・広報(5)」はこちら
『リスクの神様』第6話では、サンライズ物産グループの製薬企業「新陽薬品」内で発生する新薬特許に関する機密情報漏えい事件を扱っている。次々と浮かび上がる多くの社内外の懸念者たちの行動に翻弄されながらも、ついに犯人にたどりつく危機対策室。「産業スパイ」というエッセンスを背景に展開される企業内の暗部の解明に危機対策室は今回も尽力する。
このコラムでは、毎回の放送後に『リスクの神様』の見どころや危機管理と広報の教訓、キーポイントなどを本ドラマの監修者で危機管理の専門家としての筆者の目線から解説していく。
第6話のあらすじ
サンライズ物産と新陽薬品は、共同開発した花粉症治療新薬の特許を出願した。だが、同じ製法の新薬特許がすでに出願されていたため、認可が下りないという事態に。西行寺(堤真一)はこれを「機密情報の漏えい」と判断、新薬開発プロジェクトにかかわっていた原田(満島真之介)に事情を聴くと、機密情報には新薬開発プロジェクトのメンバー以外はアクセスできないようになっていたと知る。
そこで、危機対策室は極秘の内部調査に踏み切ることに。新陽薬品の進藤社長(中丸新将)は、危機対策室による内部調査に同意し、リーダーの望月貴子(中山忍)に協力を命じる。望月の案内でプロジェクトルームを訪れた西行寺たちは、そこで室用ナンバーキーや製剤機密へアクセスするためのパスワードなどを定期的に変更していなかったという事実を知る。ほどなく、新陽薬品の役員室から盗聴器が発見され、メンバー全員が研修出張していた期間に何者かが機密情報にアクセスした記録も見つかった。
調査を進める西行寺たちは、社長の進藤と、プロジェクト総責任者・大鷹取締役(筒井真理子)の間の仲がうまくいっていなかったことを知るのだが——。
第6話の教訓—「標的型メール」よりも怖い「ソーシャル・エンジニアリング」
第6話では、新薬の開発に伴う製薬業界内の熾烈な闘いに加え、企業内の経営陣の陰湿な派閥争いなどが混じり合い、壮絶な情報戦や諜報戦が繰り広げられる。その中で、どのような高度な情報セキュリティ技術をもってしても犯罪行為を完全に防ぐ手だてはない、ということを改めて知らされる。
犯罪者はミッション・インポッシブルさながらの派手なパフォーマンスを必要としない。人間の心理的な隙や行動のミスにつけ込み罠をかけ、情報を入手する「ソーシャル・エンジニアリング」という手法を描いている。他人のパスワードや機密を盗み見たり、聞いたりするほか、清掃会社の従業員になりすましてシュレッダーの廃棄場所を特定したり、とその手口は際限がない。当然、役員室や役員会議室の盗聴なども現実に発生している。
不正アクセスなど、大がかりな手法によって大胆に行われる犯罪行為では、その周辺に残される犯人の痕跡から犯人にたどりつく可能性もあるが、内部犯行では十分時間をかけ、用意周到に計画され、痕跡を消去したり、第三者の犯行に偽装したりと、手の込んだ犯罪行動がとられることも少なくない。ましてや、その犯罪者が経営に近い側にいれば、事前に事故調査情報を知る機会に恵まれ、容易に証拠隠滅などが行われて、犯人特定はおぼつかなくなる。
筆者が扱った事件においても、CSO (Chief Security Officer : 情報セキュリティ責任者)自らが組み立てた情報管理技術を偽装し、情報を盗取後は、その痕跡を消去するという手法により長い間、犯行経路を特定されないようにしていたものがあった。今回のドラマの事例もそれに近い設定となっている。
情報管理については、人的、組織的、物理的、技術的な安全管理措置が一般的だが、企業経営者の中には、技術的な安全管理措置が徹底されていれば、他の安全管理措置が甘くても概ね万全であるとの誤解が多い。企業規模や取り扱う情報の内容にもよるが、一定の技術的安全管理措置を行った上で、人的、組織的な安全管理措置を全役職員に徹底することが重要である。罪を犯すのは「人」であることを前提に、ソーシャル・エンジニアリングによる被害が出ないよう事前に教育・研修活動などを行うことをお勧めしたい。