追記 8/7
警告した矢先に・・・完全に予想的中
半導体企業には産業スパイうようよいるのに・・・・
>TSMC従業員らが会社のパソコンを使い内部システムに社外でアクセス。旧知の東京エレクトロンの技術者が、画面に表示された図面を携帯電話で撮影した。技術者は印刷された書類も受け取った。
2nmプロセス技術がほしい日本国内のあるところからの圧力に東京エレクトロンが応じた気がするけどね。
(個人の感想)
最新プロセス技術はほしいとは思うけど、売っている装置のラインナップをみると、主体的に産業スパイをするメリットはそれほど大きくない。産業スパイがバレたときの信用問題既存の損失を考えると割に合わない、コスパが悪すぎる。以上の理由より主体的ではなく外部の圧力だと思う。2nm技術を喉から手が出るほどほしいどこか。。。
主体的犯行ではないにしろ、圧力に負けて顧客を裏切るなんて情けないね。圧力ですぐ折れるなんてひ弱すぎる・・・
圧力に負けてホイホイ企業秘密を漏らす企業じゃTSMCにとどまらず他顧客メーカーからも信用失って逃げると思う。そして外国人株主,海外顧客大激怒の未来・・・
温厚な日本人と違い外国企業/外国人はそういうの厳しいからね・・・
日本ニュースではあまり騒がれていないけど、海外ニュース見ると大ニュースになっててすごい・・・
1. **特権アクセス管理(PAM)システムの導入**[15][16]
- 特権IDの使用を厳格に管理
- すべてのアクセス履歴を詳細に記録
- 異常なアクセスをリアルタイムで検出
2. **操作ログの詳細記録と分析**[11][14]
- ファイルアクセス、印刷、外部媒体接続などすべての操作を記録
- 業務時間外のアクセスや権限外の操作を監視
- 機械学習による異常行動の検出
3. **最小権限の原則の徹底**[17][18]
- 業務に必要な最低限のアクセス権のみ付与
- 定期的なアクセス権の見直し
- 退職者のアカウント削除の徹底
あとは退職者などを管理している人事系システムと機密情報などが詰まった業務系システムをmicrosoft active directoryやLDAPなどでACL(acccess client list) リアルタイムリンク。
現在、多くの企業は**サイバー攻撃などの外部脅威ばかりに気を取られ、内部不正対策が疎かになっている**のが実情です。
・・・・
杞憂ではなくて、今まで何社でもそういうケースを数多くこの目で見てきました。
・・・・・
機密情報の塊の半導体業界にいたからなおさらです。
・・・・
しかし、足下に目を向けている経営者、政治家がほとんどいないのが残念です。
もっとITわかる上の人が増えてほしいものです。
・・・・
『別に外国人にだけ気をつけろというつもりはありません。』
外部勢力にお金につられて不正を働く日本人もたくさんいます。ものすごくたくさん。
----------------------------------------------------------------
経験上内部不正する人は見た目でいかにもという人でなくて、きちんとしてそうな人、あの人に限って という人がものすごく多い
逆にいかにもという人が実は反対でモラルが高いことも。 見た目が疑われる人はその自覚があってマークされてるかもと思っているのか用心して真面目なことも
「見た目や表面的な言動で人を判断してはいけない」
本当にやばい人は頭切れるから目立って疑われないようにものすごく巧妙 だいたい知能犯 詳しいことは書かないけど複数社でこういうのたくさん対応してきた
警察ばりに深夜に自宅まで踏み込んで現行犯見つけたことも、、、こういうのは後味悪いけどね 本当はやりたくない だからその気を起こさせないように未然に牽制して、不正を思いとどまらせることが重要
そういうのを見抜くのも大変
いい人そう、仕事を忠実にこなすように見えて実はオモテウラあって、えん罪を作って人に罪をなすりつける人もいますからね。(しみじみ)
世間的にはいい人だから周りに言っても信じてもらえないですし。
踏み台を作って他の人に罪をかぶせる人も多いしね
江ノ島USBネコみたいにね
# 【警告】あなたの会社のシステム部門は大丈夫?アウトソーシングが招く「内部不正の死角」
## 米国防総省で発覚した衝撃的事実
2025年7月、アメリカで衝撃的なニュースが報じられました[1][2]。**マイクロソフトが中国人エンジニアを使用して、米国防総省のクラウドシステムの保守業務を行っていた**というのです。
この事件では、中国人エンジニアが「デジタルエスコート」と呼ばれるアメリカ人監督者の監視下で作業を行っていましたが、その監督者は**技術的な専門知識を欠いており、悪意のあるコードの挿入を検知する能力が不足していた**ことが判明しています[3][4]。
ピート・ヘグセス国防長官は「外国のエンジニアは、いかなる国(もちろん中国も含む)であっても、国防総省のシステムの保守やアクセスを許可されるべきではない」と述べ、2週間の緊急調査を命じました[5][6]。
この事件は決して海外だけの問題ではありません。**日本企業でも同様のリスクが潜んでいる**のです。
## 日本企業の内部不正の実態:氷山の一角
### 驚愕の統計データ
日本の企業における内部不正の実態は、多くの経営者が思っている以上に深刻です。
- **約32%の日本企業で過去3年間に不正が発生**[7]
- **情報漏洩インシデントの約65-70%が内部不正によるもの**[8][9]
- **組織の74%がインサイダー脅威に対して脆弱性を感じている**[8]
- **内部脅威による平均損失額は年間約1,540万ドル(約22億円)**[9]
さらに深刻なのは、**経営層が内部不正を経営課題として捉えている割合はわずか40%未満**という現実です[10]。多くの企業が「うちの会社に限って」という性善説に基づいた楽観的な見方をしているのが実情なのです。
### システム管理者の「神の権限」がもたらすリスク
特に危険なのが、システム管理者による内部不正です。彼らは以下のような強大な権限を持っています:
- **特定の人のメールの中身をすべて読む**
- **ファイルサーバーの機密ファイルを自由に閲覧**
- **システムの設定変更やデータの削除・改ざん**
- **アクセスログの改ざんや削除**
システム管理者は何でもできる権限を持っています。ただモラルの存在が自制しているだけです。モラルのない人が入ってきたら?
会社で言えば、悪意さえあれば、役員の間の秘密の会話さえ全部丸見え。それ見れればインサイダー取引でも何でもできちゃいますね。
過去、こうした事例。情報システム部門の業務委託先従業員の大人数(8割ほど、、、大手企業)が関わり組織的にやっていたことをこの目で見たこともあります。もちろん見て見ぬふりはしませんけどね・・・それなりの厳しい対応・・・
個人情報、機密情報も他に売れば笑いが止まらないほど簡単にぼろもうけできますね。
これらの権限を持つ人間が悪意を持った場合、**組織にとって致命的な損害をもたらす可能性**があります[10][11]。
## アウトソーシング時代の新たな脅威
### 忠誠心に基づくモラルの限界
従来、内部不正を防ぐ最後の防波堤は「組織への忠誠心」でした。しかし、現在多くの企業がシステム運用をアウトソーシングしており、**委託先の従業員には組織への忠誠心を期待できない**のが現実です[12][13]。
### アウトソーシングで発生する監視の盲点
アウトソーシング先では以下のような問題が発生しやすくなります:
1. **物理的な監視の困難さ**:リモートアクセスによる作業では、入退室管理や監視カメラなどの物理的対策が機能しません[13]
2. **技術的監督能力の不足**:委託元の担当者が技術的な専門知識を持っていない場合が多い[4]
3. **複数社による組織的不正**:筆者の経験上、複数のアウトソーシング会社で組織的に機密情報を不正入手し、インサイダー取引やダークウェブでの情報販売を企図するケースが存在しています
## 性善説を捨てた対策が必要
### 操作ログ監視の重要性
内部不正対策で最も重要なのは、**システム部門の人間も含めた全員の操作ログを取得し、誰にもログを消せないようにする仕組み**の構築です[11][14]。
具体的には以下の対策が必要です:
1. **特権アクセス管理(PAM)システムの導入**[15][16]
- 特権IDの使用を厳格に管理
- すべてのアクセス履歴を詳細に記録
- 異常なアクセスをリアルタイムで検出
2. **操作ログの詳細記録と分析**[11][14]
- ファイルアクセス、印刷、外部媒体接続などすべての操作を記録
- 業務時間外のアクセスや権限外の操作を監視
- 機械学習による異常行動の検出
3. **最小権限の原則の徹底**[17][18]
- 業務に必要な最低限のアクセス権のみ付与
- 定期的なアクセス権の見直し
- 退職者のアカウント削除の徹底
### 委託先管理の強化
アウトソーシング先に対しては、以下の管理体制が必要です[19][13]:
1. **契約段階での厳格な要件定義**
- セキュリティ対策基準の統一
- 操作ログ取得の義務化
- 違反時の罰則規定
2. **継続的なモニタリング**
- 定期的なセキュリティ監査
- リアルタイムでの作業監視
- 異常行動の即座な検知・対応
3. **技術的な制御措置**
- ファイルの持ち出し制限
- 画面録画による作業記録
- ネットワークアクセスの制限
## 外部脅威vs内部脅威のバランスを見直せ
現在、多くの企業は**サイバー攻撃などの外部脅威ばかりに気を取られ、内部不正対策が疎かになっている**のが実情です[9][20]。
しかし、実際の統計を見ると:
- **情報漏洩の65-70%は内部不正が原因**
- **外部攻撃よりも内部不正の方が損害が大きくなる傾向**
- **内部不正は発見が遅れがちで、被害が長期化しやすい**
このバランスの見直しが急務です[8][9]。
## まとめ:今すぐ始めるべき対策
国防総省の事件は、私たちに重要な教訓を与えています。アウトソーシングに限らず、少ないながらも、**特権を持つ人間は誰であっても監視が必要**であり、**性善説に基づく運用は極めて危険**だということです。
杞憂ではなくて、今まで何社でもそういうケースを数多くこの目で見てきました。
今すぐ以下のチェックを行ってください:
✅ システム管理者の操作ログは適切に記録されているか?
✅ アウトソーシング先の作業は十分監視されているか?
✅ 特権アクセスは適切に制限・管理されているか?
✅ 内部不正のインシデント対応計画は整備されているか?
**「うちの会社に限って」という思い込みこそが、最大のセキュリティホール**なのです。今こそ、性善説を捨てて現実的な内部不正対策に取り組む時です。
残念なことにサイバー攻撃と騒がれている昨今。
もちろんそれも大切です。
『別に外国人にだけ気をつけろというつもりはありません。』
外部勢力にお金につられて不正を働く日本人もたくさんいます。ものすごくたくさん。
外国ということも国内競合ということも。たくさんの日本人とも対峙してきました。
モラルのない日本人が金に釣られてい、というケースがすごく多いです。
一例
そしてこれも不正競争防止法法で罰金たったの100万円。自分が周りで見てきた範囲では成功報酬数千万円。数億円。
捕まるのはほんの一握りのものすごく、運、要領の悪い人だけ。
はっきり言ってやったもの勝ちです。
機密情報の塊の半導体業界にいたからなおさらです。
しかし、足下に目を向けている経営者、政治家がほとんどいないのが残念です。
もっとITわかる上の人が増えてほしいものです。
*この記事が気に入ったら、ぜひシェアして多くの人に内部不正のリスクを知らせてください。企業のセキュリティ強化に少しでも貢献できれば幸いです。*
情報源
[1] “中国の技術者が国防総省のシステム管理に関与” 米国防長官 https://article.auone.jp/detail/1/4/8/508_8_r_20250719_1752919722702964
[2] マイクロソフト、米国の防衛プロジェクトにおける中国人 ... https://www.vietnam.vn/ja/microsoft-ngung-su-dung-ky-su-trung-quoc-trong-cac-du-an-quoc-phong-my
[3] The Pentagon Has Given China Access to Its Systems for Over a ... https://www.fdd.org/analysis/2025/07/16/the-pentagon-has-given-china-access-to-its-systems-for-over-a-decade/
[4] Microsoftは国防総省のシステム保守に中国人エンジニアを投入して ... https://gigazine.net/news/20250716-microsoft-program-expose-defense-department-chinese/
[5] 米国が国防総省のシステムから中国を含む外国人技術者を追放する ... https://informat.ro/ja/news-ja/us-considers-banning-foreign-engineers-in-defense-department-71537-ja
[6] Pentagon to check if Chinese engineers have access to US defense ... https://unn.ua/en/news/pentagon-to-check-if-chinese-engineers-have-access-to-us-defense-systems-heggset
[7] [PDF] 日本企業の不正に関する実態調査 - KPMG International https://assets.kpmg.com/content/dam/kpmg/jp/pdf/2020/jp-fraud-survey-6.pdf
[8] インサイダーリスク管理: ビジネスを守るためのベストプラクティス ... https://www.kiteworks.com/ja/risk-compliance-glossary/insider-risk/
[9] 内部脅威に対抗するための5つの方法 | サイバーセキュリティ情報局 https://eset-info.canon-its.jp/malware_info/special/detail/240125.html
[10] 内部不正対策とは?|事例から学ぶ傾向と3つの対策ポイント https://www.nri-secure.co.jp/blog/internal-fraud-prevention
[11] 内部不正リスクレポートサービス - MylogStar https://www.mylogstar.net/lineup/internal-fraud-risk-report.html
[12] システム運用のアウトソーシングを検討する際の観点はどんなもの ... https://www.resm.jp/column/201902211836/
[13] 外部委託先によるリモートアクセスのセキュリティリスクと対策 https://compass.et-x.jp/blog/column-029.html
[14] 操作ログを分析し、内部不正を防止する方法について解説 https://www.iwi.co.jp/blog/security/fraud/20250313-log-analysis/
[15] 【2025年版】特権ID管理(PAM)システムのおすすめ5選比較 ... https://www.ctc-saas.com/security_column/useful/pam
[16] 特権アクセス管理(PAM)とは - IBM https://www.ibm.com/jp-ja/think/topics/privileged-access-management
[17] 管理者特権とは?システム管理者が知っておくべき重要なポイント https://ones.com/ja/blog/administrator-privileges-key-points/
[18] 特権アクセス管理(PAM)とは? どのように機能しますか? - Fortinet https://www.fortinet.com/jp/resources/cyberglossary/privileged-access-management
[19] 委託先管理の3つのポイント|情報漏えいを防ぐ方法とは? https://www.nri-secure.co.jp/blog/points-for-efficiently-managing-security-of-outsourcers
[20] 企業が軽視しがちなインサイダー脅威リスク - WatchGuard https://www.watchguard.co.jp/security-news/fraud-week-the-insider-threat-risk-that-companies-ignore-at-their-peril.html
[21] マイクロソフト、中国拠点の支援要員除外 米国防総省向けクラウド https://www.nikkei.com/nkd/company/us/MSFT/news/?DisplayType=1&ng=DGKKZO9014740019072025EA5000
[22] 米上院有力議員、国防総省契約業者のサプライチェーンリスクを指摘 https://blackhatnews.tokyo/archives/3448
[23] Pentagon chief vows probe into Microsoft-China link - Anadolu Ajansı https://www.aa.com.tr/en/americas/pentagon-chief-vows-probe-into-microsoft-china-link/3635400
[24] “中国の技術者が国防総省のシステム管理に関与” 米国防長官 https://www.chiba-tv.com/plus/detail/202507547935
[25] マイクロソフト、米国防総省向け中国技術者のサポートを停止 https://news.yahoo.co.jp/articles/15c12f18eb8770fd72191b6c0f260ed034037fa4
[26] Pentagon to probe Microsoft's use of Chinese engineers ... - Fox News https://www.foxnews.com/politics/pentagon-probe-microsofts-use-chinese-engineers-sensitive-defense-systems-hegseth-says
[27] 日テレNEWS NNN on X: "“中国の技術者が国防総省のシステム管理 ... https://x.com/news24ntv/status/1946511479429324865
[28] 米国防総省が中国ハッカーの脅威に晒される可能性 | Codebook https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/39817/
[29] Microsoft to stop using engineers in China for U.S. military tech support https://www.japantimes.co.jp/news/2025/07/19/world/microsoft-engineers-china-us-military/
[30] 中国技術者が米国国防総省のクラウドを保守 - B2B Cyber Security https://b2b-cyber-security.de/ja/%E4%B8%AD%E5%9B%BD%E6%8A%80%E8%A1%93%E8%80%85%E3%81%8C%E7%B1%B3%E5%9B%BD%E5%9B%BD%E9%98%B2%E7%B7%8F%E7%9C%81%E3%81%AE%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%82%92%E4%BF%9D%E5%AE%88/
[31] “中国の技術者が国防総省のシステム管理に関与” 米国防長官 https://news.livedoor.com/topics/detail/29200313/
[32] Microsoft stops relying on China engineers for Pentagon cloud support https://www.cnbc.com/2025/07/18/microsoft-china-digital-escorts-pentagon.html
[33] US senator seeks details from Defense Department on Microsoft's ... https://www.reuters.com/world/us/us-senator-seeks-details-defense-department-microsofts-chinese-engineers-2025-07-18/
[34] Pentagon to probe Microsoft's use of Chinese engineers on ... - Yahoo https://www.yahoo.com/news/pentagon-probe-microsofts-chinese-engineers-194301278.html
[35] 中小企業で急増中!見逃せない内部不正の兆候と7つの防止策 - note https://note.com/toru1960/n/n32ae055099c0
[36] 「企業の内部不正防止体制に関する実態調査」報告書 - IPA https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html
[37] 2022年のインサイダー脅威の統計:事実と数値 https://blog.jtc-i.co.jp/2022/07/ekran-insiderthreat2022.html
[38] [PDF] サイバーセキュリティ対策・内部不正防止対策 https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/forum/reiwa5/05_230628_IPA.pdf
[39] 2023年度「内部不正防止対策・体制整備等に関する中小企業等 ... - IPA https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html
[40] [PDF] 情報セキュリティ10大脅威 2025 - IPA https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf
[41] [PDF] 内部犯行から企業の秘密情報を守るには。 ますます重要となってき ... https://www.jnsa.org/jnsapress/vol44/2_kikou-2.pdf
[42] 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 ... https://scan.netsecurity.ne.jp/article/2024/05/08/50958.html
[43] 情報セキュリティ10大脅威2024と過去の順位推移 | JPAC BLOG https://blog.jpac-privacy.jp/10threats2024/
[44] 日本国内の中小企業のサイバーセキュリティに関する実態調査 2024 ... https://www.paloaltonetworks.jp/company/press/2024/panw-announces-results-2024-survey-cybersecurity-status
[45] 内部不正はなぜ起こるのか?~その発生のメカニズムを探る https://www.trendmicro.com/ja_jp/jp-security/24/l/expertview-20241205-01.html
[46] ガートナーが情報漏えい対策に不可欠な6つの要素を発表 - @IT https://atmarkit.itmedia.co.jp/ait/articles/2411/05/news055.html
[47] プロセス(経過)とサイン(予兆)からの内部不正対策 https://gmo-cybersecurity.com/blog/internal-fraud/
[48] 内部不正対策における重要情報保護に関する実態調査を実施 https://www.nikkei.com/article/DGXZRSP673379_Q4A620C2000000/
[49] [PDF] 令和6年におけるサイバー空間をめぐる脅威の情勢等について - 警察庁 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf
[50] 特権アクセス管理(PAM)のやさしい解説 | OneLogin - One Identity https://www.oneidentity.com/jp-ja/learn/privileged-access-management.aspx
[51] 特権アクセス管理(PAM)とは?|PAM360 - ManageEngine https://www.manageengine.jp/products/PAM360/what-is-privileged-access-management.html
[52] 内部不正を調査する最良の情報源!(上) ~どうして操作ログを ... https://scsksecurity.co.jp/services/splunk/movie/column/8/
[53] 操作ログとは?ツールで特権ユーザーを監視し - ManageEngine https://www.manageengine.jp/products/EventLog_Analyzer/privilege-user-monitoring-reports.html
[54] PAM(特権アクセス管理)とは?仕組みと特権アカウント - Proofpoint https://www.proofpoint.com/jp/threat-reference/privileged-access-management-pam
[55] 内部不正対策は必須!ログ管理で実現する情報漏洩防止策 https://weeds-japan.co.jp/column/20240112_67/
[56] 特権ID管理とは?課題や解決方法、ソリューションを解説 https://www.ntt.com/business/lp/pim.html
[57] PAM(Privileged Access Management) - セキュリティ - マクニカ https://www.macnica.co.jp/business/security/glossaries/pam/
[58] ログ管理とは?情報漏洩や内部不正を防止する | IT資産管理 MCore https://www.sei-info.co.jp/mcore/functions/log-management/pclog/
[59] PAM(特権アクセス管理)とは?|Safeguard https://www.jtc-i.co.jp/product/sps/pam.html
[60] D-Suite PAM(特権ID管理) - 大和総研 https://itsolution.dir.co.jp/itsolution/s/list/security/d-suite-pam-MCII2BZU7ZBRDUPC4IMNELA5XOHA
[61] 「従業員のログ監視」の法的・実務ポイントを弁護士が解説 - UNITIS https://unitis.jp/articles/2692/
[62] 特権IDとは?効果的に管理する方法について徹底解説! https://www.hitachi-solutions.co.jp/security/sp/column/authentication/06.html
[63] PC操作ログの管理で防げる脅威や被害と導入すべき理由について https://www.hammock.jp/assetview/media/protect-for-operation-log.html
[64] [PDF] 改訂 「モニタリングのガイドライン」 https://www.soumu.go.jp/main_content/000445676.pdf
[65] システム運用・保守契約の5つの注意点|アウトソーシングで意識す ... https://www.toppan-eits.co.jp/service/column/detail007/
[66] [PDF] システム関連業務における再委託先管理の 実務 - KPMG International https://assets.kpmg.com/content/dam/kpmg/pdf/2016/03/jp-it-risk-subcontractor-management.pdf
[67] システム運用のアウトソーシングで業務効率を最大化|目的や ... https://www.toppan-eits.co.jp/service/column/detail006/
[68] サーバの保守運用を外注する際の保守委託契約の留意点 https://www.businesslawyers.jp/practices/788
[69] IT全般統制の見落としポイント~外部委託先の選定と管理 https://www.aimc.co.jp/blog/p-2063/
[70] IT運用アウトソーシングの最新動向と企業選定のポイント https://www.ntt.com/business/services/xmanaged/lp/column/it-outsourcing.html
[71] 業務委託先の情報セキュリティを確保するための実務上のポイント https://www.ushijima-law.gr.jp/topics/20240701security/
[72] [PDF] 利用者情報の取扱いに関する モニタリングについて - 総務省 https://www.soumu.go.jp/main_content/000948406.pdf
[73] IT運用をアウトソースし54%のコスト削減に!「運用業務 ... https://www.dcs.co.jp/knowledge/report/outsourcing/
[74] [PDF] 外部委託等における情報セキュリティ上の サプライチェーン ... - NISC https://www.nisc.go.jp/pdf/policy/general/risktaiour7.pdf
[75] 【ガバナンス特集】外部委託先管理の必要性 ~コロナ禍だからこそ ... https://jmar-im.com/column_compliance/governance04/
[76] 基幹システム運用保守業務アウトソーシングサービス(BPOサービス) https://www.nssol.nipponsteel.com/ss/detail/full_it_outsourcing.html
[77] ISMSにおける委託先管理とは?管理の方法や注意点 - SecureNavi https://secure-navi.jp/blog/000113
[78] [PDF] 般送配電事業者による 公開情報の 情報漏えいに係る再発防 策の検討 https://www.egc.meti.go.jp/activity/emsc_systemsurveillance/pdf/007_05_00.pdf
[79] IT運用アウトソーシング|OPTAGE for Business https://optage.co.jp/business/service/outsourcing/itoperation/
[80] 委託先での個人情報流出、自社の責任はどこまで?法的リスクを ... https://www.skyseaclientview.net/media/article/1467/
