アクセス権限の悪用によるサイバー攻撃は企業と従業員と顧客に損害を与える可能性があります。「2023年版IBM X-Force®脅威インテリジェンス・インデックス」によると、2019年に発生した侵害数が2018年に発生した侵害数の200%を超えた主な原因は、不注意による内部脅威でした。悪意があるかないかにかかわらず、内部関係者は組織の機密データの保存場所を把握しているのに加えて、高いレベルのアクセス権限を有しています。
内部攻撃は組織にとってコストがかかるものでもあります。Ponemon Instituteの「2020年版内部脅威のコスト調査」で、研究者は、内部でのデータ侵害による平均年間コストが1,145万米ドルであり、インシデントの63%が不注意によるものであったことを明らかにしました。
偶然であろうと故意であろうと、内部関係者は機密の顧客情報、知的財産、資金を漏えいする、あるいは漏えいに荷担する可能性があります。
現従業員、元従業員、請負業者、ビジネス・パートナー、仕事関係者の全てが、脅威をもたらす可能性のある内部関係者です。ただし、会社のコンピューター・システムやデータに対して適切なレベルの権限を持っている人は誰でも、サプライヤーやベンダーを含め、組織に損害を与える可能性があります。
内部関係者の動機、意識、権限レベル、目的はさまざまです。Ponemon Instituteは、内部脅威を不注意によるもの、犯罪によるもの、資格情報に関連するものに分類しています。また、Gartnerは、内部脅威を歩兵、間抜け、協力者、一匹狼という4つのカテゴリーに分類しています。
注:Ponemon InstituteとGartnerは、独立した調査、助言、教育レポートを作成し、企業や政府機関に提供しています。
歩兵とは、気付かぬうちに操られて悪意のある活動を実行してしまう従業員のことです。歩兵はマルウェアをダウンロードしたり、スピアー・フィッシングやソーシャル・エンジニアリングを通じて詐欺師に資格情報を開示し、組織に損害を与えます。
間抜けとは、自分にはセキュリティー・ポリシーが適用されないと信じている無知または傲慢なユーザーのことです。利便性や無能さから、彼らは積極的にセキュリティー制御を回避しようとします。そして、「間抜け」は、セキュリティー・ポリシーを無視し、脆弱なデータとリソースを保護しないまま放置するので、攻撃者が簡単にアクセスできるようになります。Gartnerのレポート「Go-to-Market for Advanced Insider Threat Detection(高度な内部脅威検知に関する市場参入計画)」によると、「内部インシデントの90%は"間抜け"が原因」だそうです。
協力者は、企業の競合他社や国家などの部外者と協力して犯罪を犯します。彼らは自分の権限を使用して知的財産や顧客情報を盗んだり事業運営を混乱に陥れたりします。多くの場合、金銭的な利益または個人的な利益が目的です。
この場合も、大抵は金銭的な利益が目的です。一匹狼は、外部から影響を受けたり操られたりすることなく、単独で悪意を持って行動します。一匹狼がシステム管理者やデータベース管理者といった高いレベルの特権を持っている場合は特に危険です。
保護されたシステムの内部に詐欺師の標的がある場合、詐欺師は、従業員のアクセス特権を手に入れることに焦点を絞ります。詐欺師は、サイバー犯罪のために歩兵や間抜けを餌食にします。彼らはさまざまな戦術と技法を使用して資格情報を取得します。数例を挙げるとすると、フィッシング・メール、水飲み場型攻撃、武器化されたマルウェアなどがあります。そうした資格情報を手に入れたら、詐欺師はシステム内を横方向に移動し、特権を昇格し、変更を加え、機密データや金銭にアクセスできます。詐欺師は、コマンド・アンド・コントロール(C2)サーバーを使用して、アウトバウンド通信中に、保護されていない場所にあるデータや情報にアクセスできます。アウトバウンド試行の変更を行ったり、大量のアウトバウンド転送を実行したりできます。
詐欺師の攻撃方法:
組織は、さまざまな技術的および非技術的な制御を導入して、内部脅威の種類ごとに検知と防止を改善できます。
内部脅威の種類ごとにさまざまな症状が現れるので、セキュリティー・チームは症状を診断して原因を突き止めます。しかし、攻撃者の動機を理解することで、セキュリティー・チームは内部脅威の防御に積極的に取り組むことができます。内部脅威を軽減するために、成功している組織は、包括的なアプローチを使用しています。彼らは一般的に、次のことを行うセキュリティー・ソフトウェアを使用しています:
2019年の高度な脅威に関するSANSのレポートによると、セキュリティー担当者が、内部脅威の防御に重大な欠陥があることを発見しました。このレポートでは、この欠陥が2つの領域の可視性の欠如に起因していることがわかりました。その2つの領域とは、通常のユーザー行動のベースラインと特権ユーザー・アカウントの管理です。こうした欠陥は、フィッシング戦術と資格情報侵害にとって魅力的なターゲットとなってしまいます。
脅威モデルを確立した後、組織は内部脅威とセキュリティー侵害を検知して対処することに重点を置きます。
セキュリティー・チームは、内部脅威を検知するために、ユーザーの通常の活動と、悪意のある可能性のある活動を区別する必要があります。活動を区別するために、組織はまず、可視性の欠陥を埋める必要があります。ひいては、一元化された監視ソリューションに、セキュリティー・データを集約する必要があります。このような監視ソリューションは、 セキュリティー情報とイベント管理(Security Information and Event Management:SIEM)のプラットフォーム や、ユーザーおよびエンティティーの行動分析(User and Entity Behavior Analytics:UEBA)のスタンドアロン・ソリューションに含まれています。多くのチームは、アクセス、認証、およびアカウントの変更ログから始めます。そして、内部脅威のユースケースが成熟するにつれて、仮想プライベート・ネットワーク(VPN)やエンドポイントのログなどの追加のデータソースへと範囲を広げていきます。
組織は、特権アクセス管理(PAM)ソリューションを導入し、そのソリューションからSIEMに、特権アカウントへのアクセスに関するデータを供給する必要があります。情報を一元化したら、組織はユーザーの行動をモデル化し、リスク・スコアを割り当てることができます。リスク・スコアは、ユーザーの地域の変化やリムーバブル・メディアへのダウンロードといった、リスクの高い具体的なイベントに関連付けられています。リスク・スコアを割り当てることで、セキュリティー・オペレーション・センター(SOC)のチームが、監視リストを作成したり、組織内の高リスクのユーザーに焦点を当てたりして、企業全体のリスクを監視できるようになります。
十分な履歴データがあれば、セキュリティー・モデルを使用して、各ユーザーの通常の行動のベースラインを作成できます。このベースラインがユーザーまたはマシンの通常の動作状態を表すので、そこから逸脱した動作をシステムが警告できるようになります。個々のユーザーについて、逸脱した動作が追跡され、同じ場所に存在し同じ役職や職務に就いている他のユーザーと比較されます。
ユーザー中心のビューを導入することで、セキュリティー・チームは、一元化された場所から、内部脅威の活動を素早く特定し、ユーザー・リスクに対処できます。例えば、ユーザー行動分析では、異常な時間帯、異常な場所から行われた異常なログイン試行や、複数回のパスワード試行の失敗を検知し、アナリストの検証が適切な場合にはアラートを生成することができます。言い換えると、異常な行動は、ユーザーが悪意のある内部関係者になったこと、または外部の攻撃者が資格情報を侵害したことの特定に役立つ場合があります。
検証したら、セキュリティー・オーケストレーション、自動化、および対応(Security Orchestration, Automation and Response:SOAR)のシステムが、内部脅威対処ワークフローを作成できます。そうすると、プレイブックで必要な対処を指定できます。対処方法としては、MFAで内部関係者の身元を確認する、権限を取り消すなどの方法が考えられます。どちらも、ID管理とアクセス管理(IAM)ソリューションで自動的に実行できます。
在宅勤務やリモートワークの習慣が広がるにつれて、セキュリティー の脅威は増加し、より複雑化しています。結果的に、リモートワークによって、セキュリティーの優先事項が根本的に変化し、セキュリティー対策も変化しました。このセキュリティーの変化によって、セキュリティー・チームは次の新たな課題に直面しています:
最高情報セキュリティー責任者(CISO)は、企業ネットワークの外へと向かう、このITセキュリティーの急速な変化に対処する必要があります。CISOのチームは、企業の資産を効果的に保護するために、リモートの従業員の特徴的な行動や、リモートワークが内部脅威の検知に与える影響についての理解を深める必要があります。リモートワーカーの課題に対処するには、CISOは次の質問に答えることができなければなりません:
リモートワーカーの行動を理解することで、セキュリティー・チームは、資格情報の侵害や悪意を示している可能性のある異常な行動を検知できます。多くの場合、従業員が潜在的な損害を引き起こす前に、VPN境界でこのような行動を検知できます。境界において、CISOは、現在の内部脅威機能で次のことが可能かどうかを確認する必要があります:
攻撃者が境界での検知を回避し、組織のネットワーク内部にいるとします。その場合、セキュリティー・チームは、資格情報の侵害や悪用を示すいくつかのサインを探して、この脅威を検証する必要があります。
セキュリティー・チームは多くの方法で内部脅威のサインを導き出すことができますが、機械学習を利用できることがよくあります。それらの方法により、アクセスが正当な従業員によるものか、それとも資格情報を盗んだ泥棒によるものかを判断できます。組織のネットワーク内部において、CISOは、現在の内部脅威機能で次のことが可能かどうかを評価する必要があります:
プログラムを積極的に調整して従業員の行動の変化を補い、既存のツールへの投資を最大化することで、セキュリティー・チームは、企業ネットワークのセキュリティーを強化できます。
熟練した博識の内部関係者による情報の盗難、IT妨害、詐欺がますます増えてきています。彼らは、非常に価値のある情報に簡単にアクセスできるので、セキュリティー欠陥を利用して、取り返しのつかない損害を組織に与える可能性があります。
IBM QRadar® User Behavior Analytics(UBA)は、ユーザーの活動を分析して悪意のある内部関係者を検知し、ユーザーの資格情報が侵害されているかどうかを判別します。セキュリティー・アナリストは、リスクのあるユーザーを簡単に識別し、彼らの異常な活動を確認し、ユーザーのリスク・スコアに寄与している基盤のログとフロー・データに掘り下げることができます。
アクセス権の付与、任意のデバイスからのシングル・サインオンの提供、多要素認証によるセキュリティーの強化、ユーザー・ライフサイクル管理の有効化、特権アカウントの保護、その他多くのことを実行できます。
サイロ化されたセキュリティー・データから実用的な洞察を得て、最大の脅威を素早く特定し、アラートの総量を低減できます。オンプレミスとクラウドベース環境の全体の可視性が向上するので、チームはAIを適用して調査を加速し、対応と対処を自動化できます。
脅威検知は、セキュリティーの方程式のたった半分にすぎません。増加するアラート、多様なツール、スタッフの不足に対応するためには、スマートなインシデント対応も必要です。成熟した組織は、セキュリティー・オーケストレーション、自動化、および対応(SOAR)のプラットフォームを1つだけ導入し、コンサルティング・サービスやマネージド・サービスを使用してセキュリティー・オペレーション・センターを改善しています。