米テスラ元従業員が、iCloudの個人アカウントに自動運転のソースコードを保存。中国企業に転職。

管理者が認識していないシャドーITは、機密情報漏えいに利用されるリスクが有る(写真:アフロ)

 米テスラ社は2019年3月、同社の自動運転に関する機密情報を盗んだとして、中国出身の技術者・Cao氏に対して民事訴訟を起こしていた。7月11日に発表された法廷文書によると、Cao氏が「個人的なiCloudアカウントにテスラの機密情報である、自動運転に関するソースコードを保存した」と認めたことが明らかになった。

しかし、同氏はこの保存行為は単なる消し忘れで有り、XPengへの機密情報を提供したという容疑については否定している。

■アップル社の自動運転技術者もXPengへの転職時に機密情報を持ち出し逮捕

 今回のテスラの件で、XPengは訴えられていないが、XPengへの転職者を巡っては、以前も逮捕者が出ている。米アップル社の自動運転機能開発プロジェクト「Titan」のエンジニアJizhong Chen氏が、機密情報を不正に持ち出そうとしていたという容疑でFBIから訴えられていたが、Chen氏もまた、XPengへの転職活動中だった。

■他人事と笑えない、シャドーITの事情

 大半の人は今回の件を海の向こうのハイテクベンチャーのことで有り、他人事と感じるかもしれない。しかし、もし経営者やシステム管理者で有れば、他人事と軽く受け止めない方が良い。

 筆者は業務でシャドーITの分析を実施しているが、国内企業でシャドーITの調査を実施すると、9割以上の確率でクラウドストレージが20~40個は検出され、プロキシ等の制御を素通りし利用可能な状態となっている。

 今回、情報漏えいに利用されたのはiCloudだが、iCloud同様大量のデータを保管する機能を有したクラウドストレージが20個~40個検出されているので有る。いつ同様の事故が発生してもおかしくない状況と、情報を統制する立場に有る経営者やシステム管理者は気を引き締めるべきだろう。

 テスラ社の件を教訓にし、海の向こうの他人事と捉えず、自社のシャドーITにどの程度のリスクが存在するか、一度点検することを推奨する。