内部関係者の脅威とは何ですか?
IBMニュースレターの購読 IBM Security QRadarの詳細はこちら
メガネに映るコンピューター画面を持つ物思いにふける男のクローズアップ

インサイダー脅威とは、正規のユーザー (従業員、請負業者、ビジネス パートナー) が故意または偶発的に正当なアクセスを悪用したり、サイバー犯罪者にアカウントを乗っ取られたりすることによって引き起こされるサイバーセキュリティの脅威です。

外部からの脅威はより一般的であり、サイバー攻撃の最大の見出しを飾りますが、内部からの脅威は、悪意があるか過失の結果であるかにかかわらず、よりコストがかかり、危険である可能性があります。IBMの「Cost of a Data Breach Report 2023」によると、悪意のある内部関係者によって引き起こされたデータ漏えいが最もコストが高く、平均490万米ドル、平均的なデータ漏えいのコスト445万米ドルを9.5%上回った。 また、Verizon の最近のレポートでは、平均的な外部の脅威によって約 2 億件のレコードが侵害される一方、内部の脅威アクターが関与するインシデントによって 10 億件以上のレコードが流出していることが明らかになりました。 1

クリックスルーデモ

IBM Security® QRadar® SIEM が異常な動作をどのように識別して調査するかをご覧ください。

インサイダー脅威の種類
悪意のあるインサイダー

悪意のある内部関係者は、通常、不満を抱いた現従業員、またはアクセス資格情報が退職していない不満を抱いた元従業員であり、復讐や金銭的利益、またはその両方のためにアクセス権を意図的に悪用します。悪意のある内部関係者の中には、ハッカー、競合他社、国家的行為者などの悪意のある外部関係者のために「働いて」、業務を妨害したり(マルウェアを仕掛けたり、ファイルやアプリケーションを改ざんしたり)、顧客情報、知的財産、企業秘密、その他の機密データを漏えいさせたりする者もいます。

悪意のある内部関係者による最近の攻撃には次のようなものがあります。

過失のある内部関係者

怠慢な内部関係者は悪意のある意図はありませんが、無知や不注意によってセキュリティ上の脅威を生み出します。たとえば、 フィッシング攻撃に遭ったり 、セキュリティ制御を迂回して時間を節約したり、サイバー犯罪者が組織のネットワークにアクセスするために使用できるラップトップを紛失したり、間違ったファイル(機密情報を含むファイルなど)を組織外の個人に電子メールで送信したりします。

2022 年の Ponemon 内部者脅威のコスト グローバル レポートで調査対象となった企業のうち、内部者脅威の大部分 (56%) は不注意または過失による内部者によるものでした。 2

侵害された内部関係者

侵害された内部関係者は、外部の脅威アクターによって資格情報が盗まれた正規ユーザーです。Ponemon のレポートによると、侵害された内部関係者を介して開始される脅威は、最も高価な内部関係者の脅威であり、被害者が修復するのに平均 804,997 米ドルの費用がかかります。 3

多くの場合、内部関係者の侵害は、内部関係者の過失による行動の結果として発生します。例えば、2021年には、ある詐欺師が ソーシャル・エンジニアリングの 手口、特に音声フィッシング(ビッシング)電話を使い、取引プラットフォームであるRobinhoodの顧客サポートシステムへのアクセス認証情報を入手した。 この攻撃により、500万人以上の顧客の電子メールアドレスと200万人以上の顧客の名前が盗まれた(リンクはibm.com外に存在)。

インサイダーの脅威との戦いにおける武器

インサイダー脅威は、完全にクレデンシャルを持ったユーザによって、時には特権を持ったユーザによって、部分的または全体的に実行されるため、不注意または悪意のあるインサイダー脅威の指標や行動を、通常のユーザの行動や行動から分離することは特に困難である。 ある調査によると、セキュリティ・チームがインサイダーの脅威を検知し、封じ込めるまでに要する日数は平均85日4だが、 中には何年も検知されないインサイダーの脅威もある(リンク先はibm.com外)。

内部関係者の脅威をより適切に検出、封じ込め、防止するために、セキュリティ チームは実践方法とテクノロジーの組み合わせを信頼しています。

従業員とユーザーのトレーニング

セキュリティ・ポリシー(パスワードの衛生管理、機密データの適切な取り扱い、紛失したデバイスの報告など)やセキュリティ意識(フィッシング詐欺の見分け方、システム・アクセスや機密データへのリクエストを適切にルーティングする方法など)について、すべての正規ユーザーを継続的にトレーニングすることで、過失による内部脅威のリスクを低減することができる。 トレーニングにより、脅威の影響を全体的に和らげることもできます。例えば、「 Cost of a Data Breach Report 2023」によると、従業員研修を実施した企業におけるデータ漏洩の平均コストは、全体の平均コストよりも5.2%低い23万2,867米ドルであった。

ID およびアクセス管理

アイデンティティとアクセス管理(IAM )は、適切なユーザーとデバイスが適切なタイミングで適切な理由にアクセスできるようにする方法で、ユーザー・アイデンティ、認証、アクセス許可を管理することに重点を置いています。 (IAMの下位分野である特権アクセス管理は、ユーザー、アプリケーション、管理者アカウント、およびデバイスに付与されるアクセス権限をより詳細に制御することに重点を置いています。)

内部関係者攻撃を防ぐための重要なIAM機能は、IDライフサイクル管理です。内部関係者の脅威のリスクを軽減できる ID ライフサイクル管理アクションの例としては、不満を抱いて退職する従業員の権限を制限したり、退職したユーザーのアカウントを直ちに廃止したりすることが考えられます。

ユーザー振る舞い分析

ユーザー行動分析(UBA)は、高度なデータ分析と 人工知能(AI )を適用して、基本的なユーザー行動をモデル化し、潜在的な内部脅威を含む、新たなサイバー脅威や進行中のサイバー脅威を示す可能性のある異常を検出します。 (密接に関連する技術であるユーザーとエンティティの行動分析(UEBA)は、IoTセンサーやその他のエンドポイントデバイスの異常な行動を検出するために、これらの機能を拡張する)。

UBAは、企業全体からセキュリティ関連データを収集・相関分析する セキュリティ情報・イベント管理(SIEM)と併用されることが多くあります。

攻撃的なセキュリティ

攻撃型セキュリティ(OffSec )は、敵対的な戦術(悪質な行為者が現実世界の攻撃で使用するのと同じ戦術)を使用して、 ネットワーク・ セキュリティを危険にさらすのではなく、むしろ強化します。 攻撃的なセキュリティは通常、倫理的なハッカーによって行われます。ハッカーとは、ハッキング スキルを使用して IT システムの欠陥だけでなく、ユーザーが攻撃に対応する際のセキュリティ リスクや脆弱性を検出して修正するサイバーセキュリティの専門家です。

インサイダー脅威プログラムの強化に役立つ攻撃的なセキュリティ対策としては、 フィッシング・シミュレーションや 、倫理的ハッカーのチームが組織に対して目標指向のサイバー攻撃をシミュレートして仕掛ける レッド・チーミングなどがある。

関連ソリューション
インサイダー脅威セキュリティ ソリューション

内部関係者による脅威は検出が難しい場合があり、ほとんどのケースは数カ月または数年も気付かれないままになります。ネットワークにアクセスする内部関係者による悪意のあるまたは意図しない脅威から組織を保護します。

インサイダー脅威セキュリティ ソリューションの詳細
IBM Security QRadar SIEMを使用した脅威ハンティング

セキュリティ アナリストに、検出率を大幅に向上させ、脅威の検出と調査にかかる時間を短縮するために必要なツールを提供します。QRadar SIEM の正規化されたイベント データにより、アナリストは簡単なクエリを使用して、異種データ ソース全体で関連する攻撃アクティビティを見つけることができます。

IBM QRadar を使用した脅威ハンティングの詳細
脅威管理サービス

インテリジェントな統合脅威管理アプローチにより、重要な資産を保護し、脅威のライフサイクル全体を管理します。これにより、高度な脅威を検出し、正確に迅速に対応し、中断から回復することができます。

脅威管理サービスの詳細はこちら
参考情報 2023年データ侵害のコスト

データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。

SIEM とは何ですか?

SIEM (セキュリティ情報およびイベント管理) は、組織が業務に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を認識し、対処できるようにするソフトウェアです。

IBM Security X-Force Threat Intelligenceインデックス2023

脅威に打ち勝つための脅威を知る - 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するのに役立つ実用的な洞察を提供します。

IBM Security Framing and Discoveryワークショップ

IBMのシニア・セキュリティー・アーキテクトやコンサルタントを交え、サイバーセキュリティーを巡る自社の現状を理解し、取り組みの優先度付けを決定することをテーマに、3時間の無料デザイン思考セッションをオンライン形式または対面形式で実施します。

脅威管理とは何ですか?

脅威管理は、サイバー攻撃の防止、サイバー脅威の検出、セキュリティ インシデントへの対応のためにサイバーセキュリティの専門家が使用するプロセスです。 

インサイダーの脅威を最新の状態に保つ

IBM Security が主催するソート リーダーシップ ブログである Security Intelligence で、最新のインサイダー脅威の傾向と防御テクニックについてご覧ください。

次のステップ

サイバーセキュリティの脅威はより高度かつ永続的になり、無数のアラートやインシデントを選別するためにセキュリティ アナリストによるさらなる努力が求められています。IBM Security QRadar SIEM を使用すると、収益を維持しながら、脅威をより迅速に簡単に修復できます。QRadar SIEM は、高忠実度のアラートを優先して、他の人が見逃してしまう脅威をキャッチできるようにします。

QRadar SIEM について詳しく見る QRadar SIEMのデモの予約
脚注

Verizon 2023 Data Breach Investigations Report(リンクはibm.com外にあります。)

2, 3, 4 2022 Ponemon Cost of Insider Threats グローバル・レポート(プルーフポイント社向け。)