内部脅威とは

内部脅威が特に危険な理由

アクセス権限の悪用によるサイバー攻撃は企業と従業員と顧客に損害を与える可能性があります。「2023年版IBM X-Force®脅威インテリジェンス・インデックス」によると、2019年に発生した侵害数が2018年に発生した侵害数の200％を超えた主な原因は、不注意による内部脅威でした。悪意があるかないかにかかわらず、内部関係者は組織の機密データの保存場所を把握しているのに加えて、高いレベルのアクセス権限を有しています。

内部攻撃は組織にとってコストがかかるものでもあります。Ponemon Instituteの「2020年版内部脅威のコスト調査」で、研究者は、内部でのデータ侵害による平均年間コストが1,145万米ドルであり、インシデントの63％が不注意によるものであったことを明らかにしました。

偶然であろうと故意であろうと、内部関係者は機密の顧客情報、知的財産、資金を漏えいする、あるいは漏えいに荷担する可能性があります。

内部脅威の種類

現従業員、元従業員、請負業者、ビジネス・パートナー、仕事関係者の全てが、脅威をもたらす可能性のある内部関係者です。ただし、会社のコンピューター・システムやデータに対して適切なレベルの権限を持っている人は誰でも、サプライヤーやベンダーを含め、組織に損害を与える可能性があります。

内部関係者の動機、意識、権限レベル、目的はさまざまです。Ponemon Instituteは、内部脅威を不注意によるもの、犯罪によるもの、資格情報に関連するものに分類しています。また、Gartnerは、内部脅威を歩兵、間抜け、協力者、一匹狼という4つのカテゴリーに分類しています。
注：Ponemon InstituteとGartnerは、独立した調査、助言、教育レポートを作成し、企業や政府機関に提供しています。

歩兵

歩兵とは、気付かぬうちに操られて悪意のある活動を実行してしまう従業員のことです。歩兵はマルウェアをダウンロードしたり、スピアー・フィッシングやソーシャル・エンジニアリングを通じて詐欺師に資格情報を開示し、組織に損害を与えます。

間抜け

間抜けとは、自分にはセキュリティー・ポリシーが適用されないと信じている無知または傲慢なユーザーのことです。利便性や無能さから、彼らは積極的にセキュリティー制御を回避しようとします。そして、「間抜け」は、セキュリティー・ポリシーを無視し、脆弱なデータとリソースを保護しないまま放置するので、攻撃者が簡単にアクセスできるようになります。Gartnerのレポート「Go-to-Market for Advanced Insider Threat Detection（高度な内部脅威検知に関する市場参入計画）」によると、「内部インシデントの90％は"間抜け"が原因」だそうです。

協力者

協力者は、企業の競合他社や国家などの部外者と協力して犯罪を犯します。彼らは自分の権限を使用して知的財産や顧客情報を盗んだり事業運営を混乱に陥れたりします。多くの場合、金銭的な利益または個人的な利益が目的です。

一匹狼

この場合も、大抵は金銭的な利益が目的です。一匹狼は、外部から影響を受けたり操られたりすることなく、単独で悪意を持って行動します。一匹狼がシステム管理者やデータベース管理者といった高いレベルの特権を持っている場合は特に危険です。

脆弱な内部関係者を使用する詐欺師

保護されたシステムの内部に詐欺師の標的がある場合、詐欺師は、従業員のアクセス特権を手に入れることに焦点を絞ります。詐欺師は、サイバー犯罪のために歩兵や間抜けを餌食にします。彼らはさまざまな戦術と技法を使用して資格情報を取得します。数例を挙げるとすると、フィッシング・メール、水飲み場型攻撃、武器化されたマルウェアなどがあります。そうした資格情報を手に入れたら、詐欺師はシステム内を横方向に移動し、特権を昇格し、変更を加え、機密データや金銭にアクセスできます。詐欺師は、コマンド・アンド・コントロール（C2）サーバーを使用して、アウトバウンド通信中に、保護されていない場所にあるデータや情報にアクセスできます。アウトバウンド試行の変更を行ったり、大量のアウトバウンド転送を実行したりできます。

詐欺師の攻撃方法：

脆弱性の探索

フィッシング・メールやマルウェアを仕掛ける
不良ユーザーを特定する
侵害された資格情報を取得する

権限の搾取

目的のターゲットに移動する
必要に応じて特権を昇格する
資産にアクセスする

権限の悪用

ネットワーク活動をわかりにくくする
データを改ざんする
データを盗み出す

内部脅威を軽減する方法

組織は、さまざまな技術的および非技術的な制御を導入して、内部脅威の種類ごとに検知と防止を改善できます。

内部脅威の種類ごとにさまざまな症状が現れるので、セキュリティー・チームは症状を診断して原因を突き止めます。しかし、攻撃者の動機を理解することで、セキュリティー・チームは内部脅威の防御に積極的に取り組むことができます。内部脅威を軽減するために、成功している組織は、包括的なアプローチを使用しています。彼らは一般的に、次のことを行うセキュリティー・ソフトウェアを使用しています：

アクセス可能なデータのマップの作成
権限の付与、権限の取り消し、他要素認証（MFA）の実装といった信頼メカニズムの確立
デバイスとデータ・ストレージに関するポリシーの定義
潜在的な脅威と危険な行動の監視
必要に応じたアクションの実行

2019年の高度な脅威に関するSANSのレポートによると、セキュリティー担当者が、内部脅威の防御に重大な欠陥があることを発見しました。このレポートでは、この欠陥が2つの領域の可視性の欠如に起因していることがわかりました。その2つの領域とは、通常のユーザー行動のベースラインと特権ユーザー・アカウントの管理です。こうした欠陥は、フィッシング戦術と資格情報侵害にとって魅力的なターゲットとなってしまいます。

ユーザーを知る

機密データにアクセスできるのは誰か
アクセスする必要があるのは誰か
エンドユーザーはデータを使用して何をしているか
管理者はデータを使用して何をしているか

データを知る

どのデータが機密か
機密情報が公開されているか
機密データにはどのようなリスクがあるか
管理者は機密データへの特権ユーザーのアクセスを制御できるか

検知と対処

脅威モデルを確立した後、組織は内部脅威とセキュリティー侵害を検知して対処することに重点を置きます。

セキュリティー・チームは、内部脅威を検知するために、ユーザーの通常の活動と、悪意のある可能性のある活動を区別する必要があります。活動を区別するために、組織はまず、可視性の欠陥を埋める必要があります。ひいては、一元化された監視ソリューションに、セキュリティー・データを集約する必要があります。このような監視ソリューションは、セキュリティー情報とイベント管理（Security Information and Event Management：SIEM）のプラットフォームや、ユーザーおよびエンティティーの行動分析（User and Entity Behavior Analytics：UEBA）のスタンドアロン・ソリューションに含まれています。多くのチームは、アクセス、認証、およびアカウントの変更ログから始めます。そして、内部脅威のユースケースが成熟するにつれて、仮想プライベート・ネットワーク（VPN）やエンドポイントのログなどの追加のデータソースへと範囲を広げていきます。

組織は、特権アクセス管理（PAM）ソリューションを導入し、そのソリューションからSIEMに、特権アカウントへのアクセスに関するデータを供給する必要があります。情報を一元化したら、組織はユーザーの行動をモデル化し、リスク・スコアを割り当てることができます。リスク・スコアは、ユーザーの地域の変化やリムーバブル・メディアへのダウンロードといった、リスクの高い具体的なイベントに関連付けられています。リスク・スコアを割り当てることで、セキュリティー・オペレーション・センター（SOC）のチームが、監視リストを作成したり、組織内の高リスクのユーザーに焦点を当てたりして、企業全体のリスクを監視できるようになります。

十分な履歴データがあれば、セキュリティー・モデルを使用して、各ユーザーの通常の行動のベースラインを作成できます。このベースラインがユーザーまたはマシンの通常の動作状態を表すので、そこから逸脱した動作をシステムが警告できるようになります。個々のユーザーについて、逸脱した動作が追跡され、同じ場所に存在し同じ役職や職務に就いている他のユーザーと比較されます。

ユーザー中心のビューを導入することで、セキュリティー・チームは、一元化された場所から、内部脅威の活動を素早く特定し、ユーザー・リスクに対処できます。例えば、ユーザー行動分析では、異常な時間帯、異常な場所から行われた異常なログイン試行や、複数回のパスワード試行の失敗を検知し、アナリストの検証が適切な場合にはアラートを生成することができます。言い換えると、異常な行動は、ユーザーが悪意のある内部関係者になったこと、または外部の攻撃者が資格情報を侵害したことの特定に役立つ場合があります。

検証したら、セキュリティー・オーケストレーション、自動化、および対応（Security Orchestration, Automation and Response：SOAR）のシステムが、内部脅威対処ワークフローを作成できます。そうすると、プレイブックで必要な対処を指定できます。対処方法としては、MFAで内部関係者の身元を確認する、権限を取り消すなどの方法が考えられます。どちらも、ID管理とアクセス管理（IAM）ソリューションで自動的に実行できます。

内部関係者のリモートワーカーの脅威から保護する方法

在宅勤務やリモートワークの習慣が広がるにつれて、セキュリティーの脅威は増加し、より複雑化しています。結果的に、リモートワークによって、セキュリティーの優先事項が根本的に変化し、セキュリティー対策も変化しました。このセキュリティーの変化によって、セキュリティー・チームは次の新たな課題に直面しています：

行動の変化と攻撃対象領域の増加によるセキュリティー・インシデントの全体的な増加
フィッシング攻撃の増加
VPNに接続されていないエンドポイントとサーバーの可視性の欠如
不規則な勤務時間、さまざまな場所、Webブラウジング行動の変化による従業員の行動の変化
SaaSアプリケーションの使用の増加と可視性の欠如

最高情報セキュリティー責任者（CISO）は、企業ネットワークの外へと向かう、このITセキュリティーの急速な変化に対処する必要があります。CISOのチームは、企業の資産を効果的に保護するために、リモートの従業員の特徴的な行動や、リモートワークが内部脅威の検知に与える影響についての理解を深める必要があります。リモートワーカーの課題に対処するには、CISOは次の質問に答えることができなければなりません：

企業の仮想プライベート・ネットワーク（VPN）にログインしている人が従業員であり、盗まれた資格情報を使用している攻撃者ではないことを確認するにはどうすればよいか
従業員の異常な行動がリモート勤務によるものではないことを確認するにはどうすればよいか
保護された従業員が、コーヒー・ショップのような保護されていない一般向けのインターネット環境に接続できるようにするにはどうすればよいか

リモートワーカーの行動を理解することで、セキュリティー・チームは、資格情報の侵害や悪意を示している可能性のある異常な行動を検知できます。多くの場合、従業員が潜在的な損害を引き起こす前に、VPN境界でこのような行動を検知できます。境界において、CISOは、現在の内部脅威機能で次のことが可能かどうかを確認する必要があります：

アクセス、認証、VPNのログを適切に可視化できること
従業員の資格情報が2個所で同時に使用されていないかや、異常な地域から使用されていないかを判別できること
従業員が、主要勤務地の都市における標準的な勤務時間でないときに資格情報を使用していないか、接続期間が通常より長くないかを識別できること
接続を終了し、デバイスをブロックし、IAMを介して資格情報を取り消すことができること

内部脅威のサイン

攻撃者が境界での検知を回避し、組織のネットワーク内部にいるとします。その場合、セキュリティー・チームは、資格情報の侵害や悪用を示すいくつかのサインを探して、この脅威を検証する必要があります。

セキュリティー・チームは多くの方法で内部脅威のサインを導き出すことができますが、機械学習を利用できることがよくあります。それらの方法により、アクセスが正当な従業員によるものか、それとも資格情報を盗んだ泥棒によるものかを判断できます。組織のネットワーク内部において、CISOは、現在の内部脅威機能で次のことが可能かどうかを評価する必要があります：

特徴的な標準活動パターンと頻度をモデル化して、ベースラインからの逸脱を検知できる。逸脱は、意図的なものであろうと偶発的なものであろうと、悪用を示している可能性があります。
特定の日のアウトバウンド通信の試行または接続の数によって、データ抜き取りの試行を監視できる。従業員のアウトバウンド通信の数が急増した場合に、そのユーザーの資格情報を注意深く監視することを提案できます。
特定の従業員の異常な大量データ転送を検出できる。まとまったデータ転送の監視により、早い段階で侵害を示唆する、単純でありながら強力なサインを出すことができます。
マルウェアの活動を示している可能性のある、不審なアプリケーションがないか、エンドポイントの健全性を検査できる。新しいプロセスやアプリケーションの実行を特定することで、マルウェアを封じ込め、組織のセキュリティー・リスクを軽減できます。

プログラムを積極的に調整して従業員の行動の変化を補い、既存のツールへの投資を最大化することで、セキュリティー・チームは、企業ネットワークのセキュリティーを強化できます。