内部脅威とは、組織内部から発生するサイバー・セキュリティ・リスクを指す。これは通常、正規のユーザー資格を持つ現従業員、元従業員、請負業者、ベンダー、またはパートナーが、組織のネットワーク、システム、およびデータに不利益をもたらすために、そのアクセスを悪用した場合に発生する。内部脅威は、意図的に実行されることもあれば、意図せずに実行されることもある。どのような意図であれ、最終的には企業システムやデータの機密性、可用性、完全性が損なわれる。

インサイダーの脅威は、ほとんどのデータ漏洩の原因である。従来のサイバーセキュリティ戦略、ポリシー、手順、システムは、外部からの脅威に焦点を当てることが多く、組織内部からの攻撃に対して脆弱なままになっている。内部関係者はすでにデータやシステムに対する有効な権限を持っているため、セキュリティ専門家やアプリケーションが正常な活動と有害な活動を区別することは難しい。

悪意のあるインサイダーは、企業のシステム、プロセス、手順、ポリシー、およびユーザーを熟知しているため、他の悪意のある攻撃者よりも明らかに有利です。彼らはシステムのバージョンやそこに潜む脆弱性に敏感だ。したがって組織は、少なくとも外部からの脅威と同じくらい厳格に内部の脅威に取り組まなければならない。

内部脅威の種類

悪質なインサイダーの脅威

ターン・クロークとも呼ばれる悪質な内部脅威の主な目的は、スパイ活動、詐欺、知的財産の窃盗、破壊工作などである。彼らは、金銭的、個人的、あるいは悪意ある理由のために、意図的に特権的なアクセス権を悪用して情報を盗んだり、システムの機能を低下させたりする。例えば、機密データを競合他社に売り渡した従業員や、組織のネットワークに衰弱させるマルウェアを持ち込んだ、不満を持つ元契約社員などである。

悪意のあるインサイダーの脅威は、協力者かもしれないし、一匹狼かもしれない。

協力者

協力者とは、意図的に組織を害するために第三者と協働する許可されたユーザーである。第三者は、競合他社、国家、組織的犯罪ネットワーク、あるいは個人であるかもしれない。協力者の行為が機密情報の漏洩や業務妨害につながる。

一匹狼

一匹狼は完全に独立して行動し、外部からの操作や影響を受けずに行動する。データベース管理者のような特権的なシステムアクセス権を持っていることが多いため、特に危険である。

不注意なインサイダー脅威

不注意なインサイダーのセキュリティ脅威は、不注意に発生する。これらは多くの場合、ヒューマンエラー、判断力の欠如、意図しない幇助、利便性、フィッシング（およびその他のソーシャルエンジニアリング戦術）、マルウェア、および盗まれた認証情報の結果である。当事者は、無意識のうちに企業システムを外部からの攻撃にさらしている。

不注意なインサイダーの脅威は、手先やおふざけかもしれない。

ポーン

ポーンとは、意図せずに悪意のある行動を取るように操作された正規ユーザーのことで、多くの場合、スピアフィッシングなどのソーシャルエンジニアリングの手法によって行われる。このような不用意な行為には、コンピュータにマルウェアをダウンロードしたり、偽者に機密情報を開示したりすることが含まれる。

グフ

グーフは意図的に有害な可能性のある行動を取るが、悪意はない。彼らは傲慢で、無知で、無能なユーザーであり、セキュリティ・ポリシーや手順に従う必要性を認識していない。おっちょこちょいとは、組織のポリシーに反すると知っていながら、個人用デバイスに顧客の機密情報を保存するユーザーのことかもしれない。

モグラ

二重スパイとは、部外者でありながら組織のシステムに内部からアクセスできるようになった者のことである。彼らは、ベンダー、パートナー、請負業者、従業員を装うことで、本来であれば受ける資格のない特権的認可を得ることができる。

インサイダーの脅威を検知する方法

ほとんどの脅威インテリジェンスツールは、ネットワーク、コンピュータ、およびアプリケーションデータの分析に重点を置き、特権アクセスを悪用する可能性のある権限のある人物の行動にはほとんど注意を払わない。インサイダーの脅威に対する安全なサイバー防衛のためには、異常な行動やデジタル活動に目を光らせる必要がある。

行動指標

インサイダーの脅威を示す指標には、以下のようなものがある：

不満を持つ従業員、請負業者、ベンダー、パートナー。
セキュリティを回避しようとする行為。
時間外勤務の常態化。
同僚に対して憤りを示す。
組織の方針に対する日常的な違反。
退職を考えている、または新しい機会について話し合っている。

デジタル表示器

通常とは異なる時間に企業のアプリケーションやネットワークにサインインする。たとえば、午前3時に何の催促もなくネットワークにサインインする従業員は、心配の種になるかもしれない。
ネットワークトラフィックの急増。誰かがネットワーク上で大量のデータをコピーしようとしている場合、ネットワーク・トラフィックに異常なスパイクが発生する。
通常はアクセスしない、あるいはアクセスすることが許可されていないリソースにアクセスすること。
職務に関係のないデータにアクセスする。
職務に関係のないシステムリソースへのアクセスを繰り返し要求する。
USBドライブなどの不正なデバイスを使用すること。
ネットワークをクロールし、機密情報を意図的に検索する。
機密情報を社外に電子メールで送信する。

インサイダー攻撃から身を守るには

組織のデジタル資産を内部の脅威から守ることができる。その方法はこうだ。

重要資産の保護

組織の重要な論理的・物理的資産を特定する。これには、ネットワーク、システム、機密データ（顧客情報、従業員の詳細、回路図、詳細な戦略計画など）、施設、人材などが含まれる。各重要資産を理解し、優先順位を付け、各資産の保護の現状を把握する。当然ながら、最も優先順位の高い資産は、内部の脅威から最も高いレベルで保護されるべきである。

通常のユーザーとデバイスの動作のベースラインを作成する

内部脅威を追跡できるさまざまなソフトウェア・システムがある。これらのシステムは、まずアクセス、認証、アカウント変更、エンドポイント、仮想プライベートネットワーク（VPN）のログからユーザーの活動情報を一元化することで機能する。このデータを使用して、リムーバブル・メディアへの機密データのダウンロードや、通常とは異なる場所からのログインなど、特定のイベントに結びついたユーザーの行動をモデル化し、リスク・スコアを割り当てます。個々のユーザーとデバイス、および職務と役職ごとに、通常の動作のベースラインを作成する。このベースラインがあれば、逸脱にフラグを立て、調査することができる。

可視性の向上

ユーザーのアクティビティを継続的に監視し、複数のソースからのアクティビティ情報を集約・相関させるツールを導入することが重要です。例えば、悪意のある内部関係者を引き込むトラップを設置し、彼らの行動を追跡し、彼らの意図を理解するサイバー・デセプション・ソリューションを使用することができる。この情報は、現在または将来の攻撃を特定または防止するために、他の企業セキュリティ・ソリューションに提供される。

ポリシーの実施

組織のセキュリティポリシーを定義し、文書化し、周知する。これにより曖昧さを防ぎ、執行のための正しい基盤を確立することができる。従業員、請負業者、ベンダー、パートナーは、自分たちの組織のセキュリティ・スタンスに関連して、どのような行動が許容されるのかについて疑問を抱くべきではない。権限のない者に特権情報を漏らさない責任を認識すべきである。

文化の変革を推進する

インサイダーの脅威を検知することは重要であるが、ユーザーの常軌を逸した行動を思いとどまらせる方がより賢明であり、コストもかからない。この点では、セキュリティを意識した企業文化の変革とデジタルトランスフォーメーションの推進が鍵となる。正しい信念と態度を植え付けることは、過失と闘い、悪意ある行動の根源に対処するのに役立つ。従業員やその他の利害関係者は、セキュリティに関する教育を行うセキュリティ研修や意識啓発に定期的に参加するべきであり、これには、従業員満足度の継続的な測定と改善を伴って、不満の兆候を早期に察知できるようにすべきである。

内部脅威検知ソリューション

インサイダーの脅威は、外部からの攻撃よりも特定と防止が難しい。ファイアウォール、侵入検知システム、マルウェア対策ソフトウェアといった従来のサイバーセキュリティ・ソリューションでは、レーダーから見落とされがちである。攻撃者が正規のユーザーID、パスワード、IPアドレス、デバイスを使用してログインした場合、セキュリティアラームが作動する可能性は低い。デジタル資産を効果的に保護するには、複数のツールを組み合わせて内部者の行動を監視し、誤検知の数を最小限に抑える内部脅威検知ソフトウェアと戦略が必要です。

インサイダーの脅威

今日から始めましょう。

詳細情報

Resources

OpenText™ Cybersecurity on LinkedIn