内部関係者の脅威とは何ですか?

外部からの脅威はより一般的であり、サイバー攻撃の最大の見出しを飾りますが、内部脅威はよりコストがかかり、危険である可能性があります。IBMのデータ侵害のコストに関する調査によると、悪意のあるインサイダーによるデータ侵害のコストが最も高く、平均で499万米ドルでした。

また、Verizonの最近のレポートでは、平均的な外部の脅威によって約2億件のレコードが侵害される一方、内部の脅威アクターが関与するインシデントによって10億件以上のレコードが流出していることが明らかになりました。 ¹

すべての内部脅威が悪意のあるものであるとは限りません。IBM Institute for Business Valueの調査によると、善意のスタッフが、そのツールがセキュリティーのニーズを満たしているかどうかを知らないまま、サードパーティ製品に組織の機密データを共有する可能性があることがわかりました。この調査では、従業員の41％がIT部門やセキュリティー・チームに知られることなくテクノロジーを取得、変更、作成しており、セキュリティーに深刻な隙が生じていることも報告されています。

悪意のあるインサイダーは、不満を抱いている現従業員や、またはアクセス認証情報が無効になっていない不満を抱いている元従業員であり、復讐や金銭的利益またはその両方のためにアクセス権を意図的に悪用します。一部の悪意のあるインサイダーは、ハッカー、競合他社、国家主体レベルの攻撃者などの外部脅威と協力して、マルウェアを仕込んだり、ファイルやアプリケーションを改ざんしたりして、オペレーションを妨害します。また、顧客情報、知的財産、企業秘密、その他の機密データを漏洩して、外部の共犯者に利益をもたらすことに注力していいるもインサイダーも存在します。

悪意のある内部関係者による最近の攻撃には次のようなものがあります。

• 新型コロナウイルス感染症の大流行が始まったとき、医療用梱包会社の不満を抱えた元従業員が、以前に作成した管理者アカウントを使って偽の新しいユーザー・アカウントを設定し、病院や医療提供者への個人防護具の出荷を遅らせたり停止させたりするような方法で、数千のファイルを改ざんしました。
   

• 2022年、X社の従業員が、賄賂と引き換えにX社のユーザーの個人情報をサウジアラビア王国およびサウジ王室の関係者に送信したとして逮捕されました。米国司法省によると、この従業員は「反対意見をターゲットにした外国政府の代理人として秘密裏に行動した」とのことです。

不注意なインサイダーは悪意を持ってはいませんが、フィッシング攻撃に引っかかったり、時間を節約するためにセキュリティー管理を回避したりするなど、無知や不注意によって意図せずセキュリティー上の脅威を生み出します。また、サイバー犯罪者が組織のネットワークにアクセスするために使用できるノートPCを紛失したり、機密ファイルを誤って組織外の個人にEメールで送信したりすることも、不注意なインサイダーの行動に含まれます。

2022年のPonemon Cost of Insider Threats Global Report（Ponemon社の内部脅威のコスト・グローバル・レポート）で調査対象となった企業のうち、内部脅威の多数（56%）が不注意なインサイダーによるものでした²。

外部の脅威アクターは正規ユーザーの認証情報を盗み、そのユーザーを侵害されたインサイダーに変えてしまいます。Ponemon社のレポートによると、侵害されたインサイダーを起点とする脅威は、被害者の修復に平均804,997米ドルを要し、最もコストのかかる内部脅威です³。

多くの場合、インサイダーの侵害は、不注意なインサイダーの行動の結果として発生します。例えば、2021年には、ある詐欺師がソーシャル・エンジニアリングの手口、特に音声フィッシング（ビッシング）電話を使い、取引プラットフォームであるRobinhoodのカスタマー・サポート・システムへのアクセス認証情報を入手しました。この攻撃により、500万人以上の顧客のEメールアドレスと200万人以上の顧客の名前が盗まれました。

内部脅威は、特権を持ったユーザーを含む完全な資格を持つユーザーによって、部分的または全面的に実行されるものです。このアプローチでは、不注意または悪意のあるインサイダーによる内部脅威の指標や行動を通常のユーザーの行動と区別することが特に困難になります。ある調査によると、セキュリティー・チームが内部脅威を検知し、封じ込めるまでに要する日数は平均85日⁴ですが、中には何年も検知されない内部脅威もあります。

内部関係者の脅威をより適切に検出、封じ込め、防止するために、セキュリティ チームは実践方法とテクノロジーの組み合わせを信頼しています。

パスワード管理、機密データの適切な取り扱い、紛失したデバイスの報告などのセキュリティー・ポリシーについて、すべての承認済みユーザーを継続的にトレーニングすると、不注意なインサイダーによる内部脅威のリスクを軽減できます。さらに、フィッシング詐欺の見分け方、システム・アクセスや機密データの要求を適切にルーティングする方法などのトピックに関するセキュリティー・アウェアネス向上トレーニングを実施すると、脅威の全体的な影響を和らげることもできます。例えば、データ侵害のコストに関する調査によると、従業員にトレーニングを実施している企業でのデータ侵害の平均コストは、トレーニングを実施していない企業よりも28万5,629米ドル少なかったとのことです。

IDおよびアクセス管理（IAM）は、適切なユーザーとデバイスが適切なタイミングで適切な理由にアクセスできるようにする方法で、ユーザーIDや認証・アクセス許可を管理することに重点を置いています。IAMの下位分野である特権アクセス管理は、ユーザー、アプリケーション、管理者アカウント、およびデバイスに付与されるアクセス権限をより詳細に制御することに重点を置いています。

内部関係者攻撃を防ぐための重要なIAM機能は、IDライフサイクル管理です。内部関係者の脅威のリスクを軽減できる ID ライフサイクル管理アクションの例としては、不満を抱いて退職する従業員の権限を制限したり、退職したユーザーのアカウントを直ちに廃止したりすることが考えられます。

ユーザー行動分析（UBA）は、高度なデータ分析と人工知能（AI）を適用して、基本的なユーザー行動をモデル化し、潜在的な内部脅威を含む新たなサイバー脅威や進行中のサイバー脅威を示す可能性のある異常を検知します。密接に関連する技術であるユーザーとエンティティーの行動分析（UEBA）は、IoTセンサーやその他のエンドポイント・デバイスの異常な行動を検知するために、これらの機能を拡張します。

UBAは、企業全体からセキュリティー関連データを収集・相関分析するセキュリティ情報・イベント管理（SIEM ）と併用されることが多くあります。

オフェンシブ・セキュリティー（OffSec） は、実際の攻撃で悪意のあるアクターが使用するのと同じ敵対的戦術を使用して、ネットワーク・セキュリティーを侵害する代わりにこれを強化します。ハッキング技術に熟練した倫理的ハッカーであるサイバーセキュリティーの専門家は、ITシステムの欠陥、セキュリティー上のリスク、およびユーザーのサイバー攻撃への対応方法における脆弱性を特定して解決することで、オフェンシブ・セキュリティーを主導します。

内部脅威プログラムの強化に役立つ攻撃的なセキュリティー対策としては、フィッシング・シミュレーションや、倫理的ハッカーのチームがシミュレートして目標指向のサイバー攻撃を組織に仕掛けるレッド・チーミングなどがあります。