CISO

社員が企業ネットワークの外にいるときの内部脅威の管理

記事をシェアする:

近年、テレワークが増加傾向にありました。2018年には、完全にテレワークで働いていたアメリカ人は3.6%にすぎませんでした。世界的な気候変動を背景に、多くの経営層が、業務でサポートできる場合にはテレワークへとシフトしていました。しかし、現在、在宅勤務やテレワークが急激に推進されているため、情報セキュリティー責任者(CISO)は、企業ネットワークの外にいる場合のIT資産の保護もスコープに入れた、セキュリティー対策の再調整が必要となっています。

かつて労働力のごく一部であったものが今でははるかに重要になり、セキュリティー・チームはこの新しい働き方に対応するためにコントロールの調整が必要です。最近、どのようにしてテレワーカーの安全なコラボレーションを実現できるかを紹介しましたが、もう1つの考慮すべき点は、従来型のネットワーク境界の外側にあるエンドポイントもカバーするためには、セキュリティオペレーションセンター(SOC)の監視範囲をどのように拡張することができるかということです。

境界での脅威の傍受

テレワーク中の社員を効果的に保護するためには、セキュリティー・チームは、内部脅威の検出において、明確な行動とその示唆するところをよりよく理解しておく必要があります。 CISOは次の質問に答えられなくてはなりません。

  • 会社のVPNにログインする人物が、盗まれた資格情報を悪用する攻撃者ではなく、従業員であることをどのように確認できますか?
  • 従業員の普段とは異なる行動がリモートでの作業の結果ではないということをどのように確認することができますか?
  • コーヒーショップなど、オープンで安全ではない場所からインターネットに接続する従業員をどのように保護していますか?

テレワーカーの行動をよりよく理解することで、セキュリティー・チームは、資格情報の侵害や悪意のある異常な振る舞いの検出に集中することができます。このような振る舞いが潜在的な損害を生み出す前に、VPNの境界で検出されることもよくあります。CISOは、この境界上で、どのような内部脅威が引き起こされるのかを次のような手段で判断する必要があります。

  • アクセス、認証、VPNログを適切に可視化
  • 社員の資格情報が2つの場所で同時に使用されているのか、それとも通常とは異なる地域から使用されているのかを確認
  • 資格情報が社員の主要な所在地で通常の勤務時間外に使用されているかどうか、または接続時間が通常よりも長いかどうかを識別
  • 接続を停止し、デバイスをブロックして、IDとアクセス管理(IAM)を介して資格情報を取り消す

ネットワークの内側の脅威を認識

攻撃者が境界での検出を回避することができ、企業ネットワークの内側にいる場合には、セキュリティー・チームは、侵害または不正使用のいくつかの指標で脅威を検出する必要があります。これは、機械学習などのいくつかの方法から導き出すことができ、アクセスが正当な社員によるものか資格情報の泥棒によるものかを判断するのに役立ちます。 組織のネットワーク内で、CISOは、どのような内部脅威が引き起こされるのかを次のような指標で判断する必要があります。

  • ベースラインからの逸脱を検出するために、通常の活動パターンとそれとは異なる活動の頻度をモデル化します。ベースラインからの逸脱は、故意か偶然かにかかわらず、乱用の指標となります
  • ある日の従業員によるアウトバウンド通信の試行数や接続数によって、データ漏えいの可能性を監視します。従業員がアウトバウンドのコミュニケーションを急上昇させた場合、そのユーザーの資格情報を注意深く監視する必要があるかもしれません
  • 従業員にとって異常とも言える、ネットワーク上で転送される大量のデータを特定します。集約したデータ転送を監視することで、ある程度単純化でき、妥当性のある強力な早期発見の指標となります
  • マルウェアの活動を示すような不審なアプリケーションを実行するエンドポイントを検査します。新しいプロセスやアプリケーションの実行を特定することで、企業の他の部分へのリスクを封じ込めて減らすことができます

セキュリティー・チームが社員の行動の変化を補うように積極的に対策を調整している場合には、既存のツールへの投資を最大化することで、企業の安全を確保していくことが可能です。組織を内部の脅威から保護するために、行動分析を活用した SIEMへの投資について調査データをご覧ください。

 

【関連リンク】

SIEMとは何か?脅威の検出を強化する仕組みとは?

【オンデマンドWebセミナー】事例から読み解く、今QRadar SIEMが必要とされる理由

 

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

Jeremy Goldsteinの写真

Jeremy Goldstein

IBM QRadar, X-Force Exchange & App Exchange プロダクト・マーケティング・マネージャー

Jeremy Goldsteinは、IBM QRadar、X-Force Exchange、App Exchangeのプロダクト・マーケティング・マネージャーであり、IBMのセキュリティー分析、脅威インテリジェンス、パートナー・エコシステム・アプリの位置付けやメッセージング、コンテンツの推進を担当しています。

 

この記事は次の記事の抄訳です。

https://securityintelligence.com/posts/recalibrate-insider-threat-controls-when-your-employees-are-off-the-corporate-network/

 

 

 

More CISO stories
2020-06-03

【Webセミナー】在宅勤務とセキュリティー・リスク:IBMのテレワーク事例と実現方法のご紹介

オンデマンドWebセミナーのご案内 生産性が高く安全なテレワーク環境を構築するためには、社外から社内システムや […]

さらに読む

2020-05-22

DX時代のクラウド・セキュリティー:クラウド第2章をセキュアにせよ 〜Secure the Chapter 2〜 Vol. 3

データ保護 クラウド第2章では、お客様の個人情報や企業活動にとって重要なデータがクラウド上に保持されることにな […]

さらに読む

2020-05-14

DX時代のクラウド・セキュリティー:クラウド第2章をセキュアにせよ 〜Secure the Chapter 2〜 Vol. 2

ハイブリッド・マルチクラウド環境のセキュリティー システムがハイブリッド・マルチクラウド環境になることに伴い、 […]

さらに読む