インサイダー脅威とは、正規のユーザー (従業員、請負業者、ビジネス パートナー) が故意または偶発的に正当なアクセスを悪用したり、サイバー犯罪者にアカウントを乗っ取られたりすることによって引き起こされるサイバーセキュリティの脅威です。
外部からの脅威はより一般的であり、サイバー攻撃の最大の見出しを飾りますが、内部からの脅威は、悪意があるか過失の結果であるかにかかわらず、よりコストがかかり、危険である可能性があります。IBMの「Cost of a Data Breach Report 2023」によると、悪意のある内部関係者によって引き起こされたデータ漏えいが最もコストが高く、平均490万米ドル、平均的なデータ漏えいのコスト445万米ドルを9.5%上回った。 また、Verizon の最近のレポートでは、平均的な外部の脅威によって約 2 億件のレコードが侵害される一方、内部の脅威アクターが関与するインシデントによって 10 億件以上のレコードが流出していることが明らかになりました。 1
IBM Security® QRadar® SIEM が異常な動作をどのように識別して調査するかをご覧ください。
悪意のある内部関係者は、通常、不満を抱いた現従業員、またはアクセス資格情報が退職していない不満を抱いた元従業員であり、復讐や金銭的利益、またはその両方のためにアクセス権を意図的に悪用します。悪意のある内部関係者の中には、ハッカー、競合他社、国家的行為者などの悪意のある外部関係者のために「働いて」、業務を妨害したり(マルウェアを仕掛けたり、ファイルやアプリケーションを改ざんしたり)、顧客情報、知的財産、企業秘密、その他の機密データを漏えいさせたりする者もいます。
悪意のある内部関係者による最近の攻撃には次のようなものがあります。
COVID-19の大流行が始まったとき、医療用梱包会社の不満を持つ元従業員が、以前に作成した管理者アカウントを使って偽の新しいユーザーアカウントを設定し、 病院や医療提供者への個人防護具の出荷を遅らせたり停止させたりするような方法で、数千のファイルを改ざんした(リンクはibm.comの外に存在)。
2022年、ツイッターの社員が、 賄賂と引き換えにツイッターのユーザーの個人情報をサウジアラビア王国とサウジアラビア王室の関係者に送ったとして逮捕された(リンクはibm.com外に存在)。 米国司法省によると、この職員は「反対意見をターゲットにした外国政府の代理人として秘密裏に行動した」という。
怠慢な内部関係者は悪意のある意図はありませんが、無知や不注意によってセキュリティ上の脅威を生み出します。たとえば、 フィッシング攻撃に遭ったり 、セキュリティ制御を迂回して時間を節約したり、サイバー犯罪者が組織のネットワークにアクセスするために使用できるラップトップを紛失したり、間違ったファイル(機密情報を含むファイルなど)を組織外の個人に電子メールで送信したりします。
2022 年の Ponemon 内部者脅威のコスト グローバル レポートで調査対象となった企業のうち、内部者脅威の大部分 (56%) は不注意または過失による内部者によるものでした。 2
侵害された内部関係者は、外部の脅威アクターによって資格情報が盗まれた正規ユーザーです。Ponemon のレポートによると、侵害された内部関係者を介して開始される脅威は、最も高価な内部関係者の脅威であり、被害者が修復するのに平均 804,997 米ドルの費用がかかります。 3
多くの場合、内部関係者の侵害は、内部関係者の過失による行動の結果として発生します。例えば、2021年には、ある詐欺師が ソーシャル・エンジニアリングの 手口、特に音声フィッシング(ビッシング)電話を使い、取引プラットフォームであるRobinhoodの顧客サポートシステムへのアクセス認証情報を入手した。 この攻撃により、500万人以上の顧客の電子メールアドレスと200万人以上の顧客の名前が盗まれた(リンクはibm.com外に存在)。
インサイダー脅威は、完全にクレデンシャルを持ったユーザによって、時には特権を持ったユーザによって、部分的または全体的に実行されるため、不注意または悪意のあるインサイダー脅威の指標や行動を、通常のユーザの行動や行動から分離することは特に困難である。 ある調査によると、セキュリティ・チームがインサイダーの脅威を検知し、封じ込めるまでに要する日数は平均85日4だが、 中には何年も検知されないインサイダーの脅威もある(リンク先はibm.com外)。
内部関係者の脅威をより適切に検出、封じ込め、防止するために、セキュリティ チームは実践方法とテクノロジーの組み合わせを信頼しています。
セキュリティ・ポリシー(パスワードの衛生管理、機密データの適切な取り扱い、紛失したデバイスの報告など)やセキュリティ意識(フィッシング詐欺の見分け方、システム・アクセスや機密データへのリクエストを適切にルーティングする方法など)について、すべての正規ユーザーを継続的にトレーニングすることで、過失による内部脅威のリスクを低減することができる。 トレーニングにより、脅威の影響を全体的に和らげることもできます。例えば、「 Cost of a Data Breach Report 2023」によると、従業員研修を実施した企業におけるデータ漏洩の平均コストは、全体の平均コストよりも5.2%低い23万2,867米ドルであった。
アイデンティティとアクセス管理(IAM )は、適切なユーザーとデバイスが適切なタイミングで適切な理由にアクセスできるようにする方法で、ユーザー・アイデンティ、認証、アクセス許可を管理することに重点を置いています。 (IAMの下位分野である特権アクセス管理は、ユーザー、アプリケーション、管理者アカウント、およびデバイスに付与されるアクセス権限をより詳細に制御することに重点を置いています。)
内部関係者攻撃を防ぐための重要なIAM機能は、IDライフサイクル管理です。内部関係者の脅威のリスクを軽減できる ID ライフサイクル管理アクションの例としては、不満を抱いて退職する従業員の権限を制限したり、退職したユーザーのアカウントを直ちに廃止したりすることが考えられます。
ユーザー行動分析(UBA)は、高度なデータ分析と 人工知能(AI )を適用して、基本的なユーザー行動をモデル化し、潜在的な内部脅威を含む、新たなサイバー脅威や進行中のサイバー脅威を示す可能性のある異常を検出します。 (密接に関連する技術であるユーザーとエンティティの行動分析(UEBA)は、IoTセンサーやその他のエンドポイントデバイスの異常な行動を検出するために、これらの機能を拡張する)。
UBAは、企業全体からセキュリティ関連データを収集・相関分析する セキュリティ情報・イベント管理(SIEM)と併用されることが多くあります。
攻撃型セキュリティ(OffSec )は、敵対的な戦術(悪質な行為者が現実世界の攻撃で使用するのと同じ戦術)を使用して、 ネットワーク・ セキュリティを危険にさらすのではなく、むしろ強化します。 攻撃的なセキュリティは通常、倫理的なハッカーによって行われます。ハッカーとは、ハッキング スキルを使用して IT システムの欠陥だけでなく、ユーザーが攻撃に対応する際のセキュリティ リスクや脆弱性を検出して修正するサイバーセキュリティの専門家です。
インサイダー脅威プログラムの強化に役立つ攻撃的なセキュリティ対策としては、 フィッシング・シミュレーションや 、倫理的ハッカーのチームが組織に対して目標指向のサイバー攻撃をシミュレートして仕掛ける レッド・チーミングなどがある。
内部関係者による脅威は検出が難しい場合があり、ほとんどのケースは数カ月または数年も気付かれないままになります。ネットワークにアクセスする内部関係者による悪意のあるまたは意図しない脅威から組織を保護します。
セキュリティ アナリストに、検出率を大幅に向上させ、脅威の検出と調査にかかる時間を短縮するために必要なツールを提供します。QRadar SIEM の正規化されたイベント データにより、アナリストは簡単なクエリを使用して、異種データ ソース全体で関連する攻撃アクティビティを見つけることができます。
インテリジェントな統合脅威管理アプローチにより、重要な資産を保護し、脅威のライフサイクル全体を管理します。これにより、高度な脅威を検出し、正確に迅速に対応し、中断から回復することができます。
脚注
1 Verizon 2023 Data Breach Investigations Report(リンクはibm.com外にあります。)
2, 3, 4 2022 Ponemon Cost of Insider Threats グローバル・レポート(プルーフポイント社向け。)