Appleのグローバルサプライチェーン・マネージャーが、100万ドルを超える賄賂とキックバックを受け取った疑いで逮捕されました。Appleの捜査は、容疑者が所有するApple支給のノートパソコンに保管されていた個人のウェブベースのメールアカウントに焦点を当てており、ポリシーの適用とデータ保護に関する貴重な教訓を提供しています。
ウォール・ストリート・ジャーナル紙によると、ポール・シン・ディバイン氏は、連邦大陪審による起訴と、アップルからの民事訴訟の両方に直面している。捜査では、ディバイン氏が主要サプライヤーに機密情報を漏洩し、アップルとの契約条件を有利にするために利用していたことが示唆されている。起訴状によると、アップルのサプライヤーは、ディバイン氏とその妻の名義で開設された複数の銀行口座に資金を支払っていたという。
Appleは、デバイン氏が企業ポリシーに違反している疑いで社内調査を開始し、同社のノートパソコンからHotmailとGmailの個人アカウントを使って送信された不審なメールを発見しました。これらのメールには、Appleの主要サプライヤーに機密情報が漏洩していました。
Appleは不正行為の疑いを発見したことで称賛に値するが、もしAppleが企業ポリシーの適用を積極的に行い、従業員のコミュニケーションから機密データを監視するよう徹底していれば、Devine氏の行為はもっと早く検知・阻止できたはずだ。IT管理者やセキュリティ専門家は、Appleのキックバック計画からいくつかの教訓を学べるだろう。
ほとんどの企業では、会社所有のコンピュータ、ネットワーク、通信の利用に関する利用規定や、機密性の高いデータや秘密情報の保護に関するポリシーを定めています。しかし、多くの企業には、これらのポリシーを監視または適用するためのツールが不足しています。倫理に反する従業員は、すぐにこの「名誉制度」を悪用する方法を見つけてしまいます。
解決策の一つとして、Windows Rights Management を実装することが挙げられます。ファイルとフォルダのアクセス許可は、機密データを保護する唯一のセキュリティ対策であることが一般的です。従業員の中にはアクセス権を持つ者もいれば、持たない者もいます。このアプローチの問題点は、権限を持つ従業員がデータにアクセスした後、そのデータをどのように扱うかを制限または制御できないことです。
Windows Rights Management Service (RMS) は、IT 管理者がアクセス後のデータに対する扱いを大幅に制御できるようにします。権限を設定することで、データの変更、印刷、メール転送などの操作を制限できるほか、アクセスの有効期限も設定できます。さらに重要なのは、RMS による制限は、ファイルが USB ドライブに保存されたり、ユーザーのパソコンに保存されたりした場合でも、ファイルに保持されることです。
企業は、SpectorSoftのSpector 360やSpector CNEなどのアプリケーションを使用することで、より包括的な監視を実装できます。これらのツールは、Webベースのメールを含むすべてのメール、オンライン検索、インスタントメッセージのチャット、入力されたキー操作、訪問したウェブサイト、使用されたアプリケーション、アクセスされたファイルなどを記録します。監視と制限は、企業全体、部門、グループ、または個々のユーザーごとに設定できます。
もう一つの選択肢は、ZecurionのZgateやZlockといったツールを使用することです。Zgateは電子メールやソーシャルネットワーキングの通信を監視し、意図的か否かに関わらず、機密情報や秘密情報の送信を試みた場合、それを検出してブロックします。また、Zlockは、そのようなデータの保存や送信に周辺機器を使用することを制限します。
Windows Rights Managementが導入されていれば、Devine氏は保護された情報をメールで転送することを阻止できたはずです。ZgateやZlockといったツールがあれば、Devine氏が機密情報をUSBメモリに保存したり、印刷したり、メールやSNSで情報を伝達しようとしたりするのを阻止できたはずです。Spector 360のようなソフトウェアがあれば、Devine氏の行動の詳細をすべて記録できたはずです。そうすれば、Appleは倫理に反する行為をより早く阻止し、ボタンを押すだけで迅速かつ容易に広範な調査を実施できるツールを手に入れることができたはずです。
監視を自動化し、企業データを積極的に保護するツールを導入するということは、必ずしも企業がビッグブラザーのように行動し、従業員のあらゆる行動を監視する必要があるということではありません。しかし、このようなアプリケーションを導入することで、IT管理者は必要に応じて詳細情報にアクセスでき、100万ドルのキックバックをめぐる連邦訴訟に発展する前に、疑わしい行動を迅速に検知・特定するツールを活用できるようになります。
