内部脅威とは

内部関係者の脅威とは何ですか?

内部脅威とは、正規ユーザー（従業員、請負業者、ビジネス・パートナー）が故意または偶発的に正当なアクセスを悪用したり、サイバー犯罪者にアカウントを乗っ取られたりすることによって引き起こされるサイバーセキュリティーの脅威です。

外部からの脅威はより一般的であり、サイバー攻撃の最大の見出しを飾りますが、内部からの脅威は、悪意があるか過失の結果であるかにかかわらず、よりコストがかかり、危険である可能性があります。IBMの「Cost of a Data Breach Report 2023（2023年データ侵害コスト・レポート）」によると、悪意のある内部関係者によって引き起こされたデータ侵害が最もコストが高く、平均490万米ドル、平均的なデータ侵害のコスト445万米ドルを9.5％上回りました。また、Verizonの最近のレポートでは、平均的な外部の脅威によって約2億件のレコードが侵害される一方、内部の脅威アクターが関与するインシデントによって10億件以上のレコードが流出していることが明らかになりました。 ¹

IBM Security X-Force 脅威インテリジェンス・インデックス

IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。

関連コンテンツ

データ侵害コスト・レポートに登録する

インサイダー脅威の種類

悪意のあるインサイダー

悪意のあるインサイダーは、通常、不満を抱いている現従業員や、またはアクセス認証情報が無効になっていない不満を抱いている元従業員であり、復讐や金銭的利益またはその両方のためにアクセス権を意図的に悪用します。悪意のあるインサイダーの中には、ハッカーや競合企業、国家主体などの悪意のある部外者に代わって、事業運営を妨害（マルウェアの仕掛け、ファイルやアプリケーションの改ざん）、顧客情報、知的財産、企業秘密、その他の機密データを漏洩したりする人もいます。

悪意のある内部関係者による最近の攻撃には次のようなものがあります。

COVID-19の大流行が始まったとき、医療用梱包会社の不満を抱えた元従業員が、以前に作成した管理者アカウントを使って偽の新しいユーザー・アカウントを設定し、病院や医療提供者への個人防護具の出荷を遅らせたり停止させたりするような方法で、数千のファイルを改ざんしました（ibm.comの外部へのリンク）。
2022年には、Xの社員が、賄賂と引き換えにXのユーザーの個人情報をサウジアラビア王国とサウジアラビア王室の関係者に送ったとして逮捕されました（ibm.comの外部へのリンク）。米国司法省によると、この職員は「反対意見をターゲットにした外国政府の代理人として秘密裏に行動した」とのことです。

過失のある内部関係者

不注意なインサイダーは悪意を持っていないとはいえ、フィッシング攻撃に引っかかったり、時間を節約するためにセキュリティー管理を迂回したり、ノートPCを紛失してサイバー犯罪者が組織のネットワークにアクセスするためにこれを使用したり、間違ったファイル（機微情報を含むファイルなど）を組織外の個人にEメールで送信したりするなど、無知または不注意によってセキュリティの脅威を作り出します。

2022年のPonemon Cost of Insider Threats Global Report（Ponemon社の内部脅威のコスト・グローバル・レポート）で調査対象となった企業のうち、内部者脅威の多数（56%）が不注意な内部者によるものでした。 ²

侵害された内部関係者

侵害されたインサイダーは、外部の脅威アクターによって認証情報が盗まれた正規ユーザーです。Ponemon社のレポートによると、侵害されたインサイダーを起点とする脅威は、被害者の修復に平均804,997米ドルを要し、最もコストのかかる内部脅威です。³

多くの場合、インサイダーの侵害は、不注意なインサイダーの行動の結果として発生します。例えば、2021年には、ある詐欺師がソーシャル・エンジニアリングの手口、特に音声フィッシング（ビッシング）電話を使い、取引プラットフォームであるRobinhoodの顧客サポート・システムへのアクセス認証情報を入手しました。この攻撃により、500万人以上の顧客のEメールアドレスと200万人以上の顧客の名前が盗まれました（ibm.com外部へのリンク）。

インサイダーの脅威との戦いにおける武器

内部脅威は、完全な認証情報を持ったユーザによって、時には特権を持ったユーザによって、部分的または全体的に実行されるため、不注意または悪意のあるインサイダー脅威の指標や行動を、通常のユーザの行動や行動から分離することは特に困難です。ある調査によると、セキュリティー・チームが内部脅威を検知し、封じ込めるまでに要する日数は平均85日⁴ですが、中には何年も検知されない内部脅威もあります（ibm.com外部へのリンク）。

内部関係者の脅威をより適切に検出、封じ込め、防止するために、セキュリティチームは実践方法とテクノロジーの組み合わせを信頼しています。

従業員とユーザーのトレーニング

すべての承認済みユーザーに対して、セキュリティー・ポリシー（パスワードの健全性、機微データの適切な取り扱い、紛失したデバイスの報告など）とセキュリティー意識（フィッシング詐欺の見分け方、システム・アクセスまたは機微データに対する要求を適切にルーティングする方法）について継続的にトレーニングを行うことで、不注意なインサイダーによる脅威のリスクを軽減できます。トレーニングにより、脅威の影響を全体的に緩和することもできます。例えば、「Cost of a Data Breach Report 2023（2023年データ侵害コスト・レポート）」によると、従業員研修を実施した企業におけるデータ侵害の平均コストは、全体の平均コストよりも5.2％低い23万2,867米ドルでした。

ID およびアクセス管理

IDおよびアクセス管理（IAM）は、適切なユーザーとデバイスが適切なタイミングで適切な理由にアクセスできるようにする方法で、ユーザーIDや認証・アクセス許可を管理することに重点を置いています。IAMの下位分野である特権アクセス管理は、ユーザー、アプリケーション、管理者アカウント、およびデバイスに付与されるアクセス権限をより詳細に制御することに重点を置いています。

内部関係者攻撃を防ぐための重要なIAM機能は、IDライフサイクル管理です。内部関係者の脅威のリスクを軽減できる ID ライフサイクル管理アクションの例としては、不満を抱いて退職する従業員の権限を制限したり、退職したユーザーのアカウントを直ちに廃止したりすることが考えられます。

ユーザー振る舞い分析

ユーザー行動分析（UBA）は、高度なデータ分析と人工知能（AI）を適用して、基本的なユーザー行動をモデル化し、潜在的な内部脅威を含む新たなサイバー脅威や進行中のサイバー脅威を示す可能性のある異常を検知します。密接に関連する技術であるユーザーとエンティティーの行動分析（UEBA）は、IoTセンサーやその他のエンドポイント・デバイスの異常な行動を検知するために、これらの機能を拡張します。

UBAは、企業全体からセキュリティー関連データを収集・相関分析するセキュリティ情報・イベント管理（SIEM ）と併用されることが多くあります。

攻撃的なセキュリティ

オフェンシブ・セキュリティー（または OffSec）は、実際の攻撃で悪意のあるアクターが使用するのと同じ敵対的戦術を使用して、ネットワーク・セキュリティーを侵害する代わりにこれを強化します。オフェンシブ・セキュリティーは通常、倫理的なハッカーによって行われます。ハッカーとは、ハッキング・スキルを活かしてITシステムの欠陥ばかりではなく、ユーザーが攻撃に対応する際のセキュリティー・リスクや脆弱性を検知して修正するサイバーセキュリティーの専門家です。

内部脅威プログラムの強化に役立つ攻撃的なセキュリティー対策としては、フィッシング・シミュレーションや、倫理的ハッカーのチームがシミュレートして目標指向のサイバー攻撃を組織に仕掛けるレッド・チーミングなどがあります。

脚注