アメリカのニュース専門放送局CNBCの報道によると、TSMC(台湾積体電路製造)は、「未承認のアクティビティ」を検知し、一部の商業機密の漏洩を発見したと明らかにしました。同社は直ちに調査を開始し、関与した従業員に対して厳格な懲戒処分を科す措置を講じました。同社は、社内のセキュリティチームが不審なアクティビティを検知し、これらの活動が未承認で機密の製造プロセスや独自技術にアクセスした可能性を示唆していると発表しました。同社はサイバーセキュリティの専門家と法的機関と緊密に協力し、潜在的な違反行為の範囲を特定するため、調査を進めています。
知的財産権の盗用問題は、その影響が1社だけに留まらず、半導体サプライチェーン全体に及ぶ可能性があります。TSMCはApple・NVIDIA・AMDなど主要なテクノロジー企業向けに半導体チップを製造しており、これにより、いかなる情報セキュリティ上の漏洩も世界的な関心事となります。台湾の半導体チップ製造業者における知的財産権の漏洩調査は、台湾のテクノロジー業界が直面するより広範なサイバーセキュリティの課題を示しています。
世界でも先進的な半導体企業の多くが拠点を置く地域として、台湾は商業スパイ活動とサイバー攻撃の主要な標的となっています。 この事件はネットワークセキュリティインフラと国際提携への継続的な投資の必要性を浮き彫りにし、重要な技術資産が不正アクセスや盗難から保護されるよう確保する必要があります。
2020年に企業は在宅勤務を余儀なくされ、リモートワークは情報漏洩防止の重大な試練となりました。SEMI(国際半導体製造装置材料協会)の多くの会員企業は共通の経験を有しており、それは内部の従業員が競合他社に転職するケースです。これに対処するため、情報の持ち逃げを防ぐだけでなく、証拠を残すことも急務となっています。その中でも主要な会員の一人が他の会員と議論して、在宅勤務期間中に情報セキュリティシステムが機能するように、いくつかの見解と要求を提示しました。
- リモートログインを使用するユーザー(従業員)は、上半身が端末のカメラに映っている必要がある
- 検出カメラ装置の使用、ジェスチャー(取り出し動作と撮影)および物体(カメラ)の認識
リモートセキュリティアクセス制御と組み合わせることで、盗撮されるリスクを軽減できます。現在の技術で実現可能であっても、アクティブ検知方式には回避可能な方法が存在します。背後からピンホールカメラを設置するだけでは、物体検知ではピンホールカメラを検出するのは困難です。実務上、アクティブ検知には困難が伴うため、パッシブ方式と組み合わせるのが現実的です。
MITREは2007・2018・2021年に大規模な行動実験を実施し、ユーザーのアクティビティを分析・研究して、潜在的な内部脅威行動指標(PRI)を特定する試みを行いました。
分析結果によると、技術に精通した内部脅威に対しては、
- リモートワーカーの活動は社内の活動と同等であり、同様の監視レベルで対応する必要がある
- 早期の潜在的なリスク活動(例:検索や収集活動)を特定し、情報漏洩そのものではなく、その前段階の活動に焦点を当てる
- 操作活動の順序は必ずしも完全に一致するわけではなく、または長時間の分析が必要となる場合がある
- 「通常の勤務時間」だけを基準としないように注意する
- リスクの識別は、単に外部への流出(データ漏洩)に関連する活動のみに依存すべきではない
重度の悪意のあるユーザーが使用する8つのPRIシーケンスのうち、2つはメール関連、6つはファイル操作および圧縮関連です。その主な理由は、圧縮や暗号化ツールを使用してファイルを操作することで、オペレーティングシステムのファイルエクスプローラーの監視を回避できるためです。しかしどのような方法であっても、たとえステガノグラフィーによるファイル埋め込みであっても、すべての操作は「クリップボードへのコピー」というプロセスを経る必要があります。
エンドポイントDLPソリューションは環境の影響を受けない
エンドポイントDLP(データ漏洩防止)を展開し、主に内部従業員の疑わしい操作活動を検出・阻止・記録し、事後調査の根拠を確保します。
アクセスとコピー複製の監視
- ファイルルール:重要なファイル(例:.pdf、.pdf、.docx、.xlsxなど)を識別し、内容を分類して表示し、それに基づいて対応するアクセス制御を実施する
- ファイル操作履歴:ファイル作成・コピー・削除・移動などに関するアラート
- データソース監視:高感度サーバー(例:研究開発部門)へのアクセスに対し、厳格なエンドポイント読み取り監視を実施する(これにはUSB・クラウド・メールエクスポート・ソーシャルアプリ・その他のファイル転送チャネルを含む)
- 異常行動分析:例えば、深夜に大量の技術文書にアクセスする、勤務時間外に機密システムにログインする、短時間で大量のファイルを圧縮/暗号化する、内部ウェブサイトで特定のキーワードを検索する等
伝送および漏洩経路の制御
- USB 外部記憶デバイス制御:未認証のUSBメモリはブロックされ、暗号化済みUSBメモリへのファイル保存を許可または禁止する
- クラウド/メールブロック:機密ファイルを個人用クラウドサービス(Google Drive・Dropbox)にアップロードしたり、個人用メールアカウントに送信する行為を阻止する
- スクリーンキャプチャ保護:重要なアプリケーションの使用、内部ウェブサイトへのアクセス、重要な情報システムへのアクセス時に、スクリーンキャプチャをブロックし、キャプチャイベントをプロファイル化してキャプチャの証拠を保持する
- 印刷監視:機密文書の印刷制御、印刷記録および証拠ファイル
- クリップボード監視:重要なコンテンツが外部アプリケーション(例:メッセージアプリ)にコピーされるのを防止する
単にその行為を阻止するだけでなく、意味のある阻止に加え、行動を試みた証拠も含まれます。
異常検出とリスク評価
エンドポイントDLPは、UEBA(ユーザーとエンティティの行動分析)またはAIモデルと組み合わせることで、以下を行うことができます。
- 行動基準モデルを構築:通常、エンジニアは自身のプロジェクトのデータのみにアクセスします。もし突然、異なるプロジェクトの機密図面をダウンロードした場合は即座に高リスクとしてマークする
- リスクスコア:異常なダウンロード量、非承認のファイル形式、プロジェクト間でのアクセスなど、特定の行動に対してスコアを付与する。設定された閾値を超えると、自動的にSOC(セキュリティオペレーションセンター)に通知するか、アカウントを一時的に停止するか機能の制限を適用する
事後証拠収集と法的根拠
- 完全なイベントログ:ファイル名・アクセス日時・ソースのパス・転送方法・ユーザーアカウント・端末IPアドレスを記録する
- 証拠の保全:事件の調査に利用するため、エンドポイントの操作ログとファイルのコードを保存する
- ファイル操作ログ:当該従業員のファイルアクセス経路および操作順序を再現し、漏洩したファイルの範囲を迅速に確認できる
結論
インフラストラクチャ(Infrastructure)におけるソリューションと比較して、エンドポイントDLPの優位性はエンドポイントでの制御にあり、リモートワークにおいても同様の制御が可能です。UEBAと組み合わせることで、事前の監視・最中の阻止・事後の証拠収集の3つの面で、重要な技術資産の保護能力を向上させ、機密漏洩のリスクを軽減できます。