リモートワークやハイブリッドワーク モデルが永続的なものになる兆しが見られるなか、内部脅威管理 (ITM) プログラムの必要性が大いに高まっています。しかしながら、多くの組織が依然として、内部脅威ではなく、外部脅威に対する防衛策ばかりに目を向けています。そのような判断は、最終的には収益にも影響を与える可能性があります。Ponemon Institute の調査によると、平均的な内部脅威コストは 1,145 万ドルで、2 年間で 31% 増となっています。
内部脅威治作を怠ることによって生じる、個々の従業員や組織に関連する脆弱性は、最悪の事態を招く可能性があります。しかし内部脅威リスクに関連するよくあるミスを回避すれば、このような脆弱性を最小限に抑えることは可能です。
内部脅威に対する従業員 (および企業) の脆弱性を高める、セキュリティにおける上位 4 つのミスと、組織にもたらされる内部脅威のリスクを低減するための対策を、以下にご紹介します。
1.言い訳にしか過ぎない従業員へのサイバーセキュリティ トレーニング
内部脅威がすべて、従業員の悪意ある行為の結果として生じるわけではありません。従業員のうっかりミスによることもあります。事実、Ponemon Institute によると、不注意による内部脅威がデータ侵害の 62% を占めています。これは、機密文書をサムドライブにダウンロードしたり、自宅で仕事を済ませるために暗号化された文書をメールで送信したりするなど、一見するとまったく問題のないような行為から起きるおそれがあります。
リモートワークやハイブリッドワークのソリューションが増えるにつれ、このような行為がいっそう広まってきています。企業はコラボレーション ツールにますます頼るようになっていますが、分散されたチームで業務を行う従業員に対して、業務プロセスを確立している企業は多くありません。また、この問題は、日々のやり取りで同じツールを使用している外部ベンダーにまで及びます。安全で適切な行動とはどのようなものなのかについてアドバイスがなければ、従業員は企業をどのような場合に危険にさらすことになるのか気づくことすらできない可能性があります。
不注意による内部脅威を防止する
サイバーセキュリティ トレーニングは、多くの組織で補足的におこなわれていることが多く、規則的におこなわれていることは稀です。内部脅威のリスクを低減するには、従業員のサイバーセキュリティ トレーニングをカスタマイズして、よく目にするリスクに対処できるものにする必要があります。不注意により危険な行動をしてしまった時にユーザーが通知を受けることができるよう、カスタマイズされたアラートを既存の技術に組み込むことができれば、アラートの理由をより効果的に明確に理解することができ、同じ問題が再度起こらないようにユーザー自身が対策を講じることができます。
事業部門内で繰り返し見られるその他のリスクについては、メールに関するサイバーセキュリティおよびコンプライアンス トレーニングを増やすこと (さらに頻繁に行うこと) や、クラウドベースのコラボレーションに関するベストプラクティス、あるいは一般的なセキュリティ リマインダーが、不注意による内部脅威の防止に役立ちます。
2.外的ストレス要因を考慮に入れない
今日働き方が変化してきたことにより、潜在的に悪意のある活動の警告サインを見極めるのがより困難になっていることは間違いありません。従業員が通常の時間外に、あるいは別の場所からデータにアクセスした場合、かつては強く疑われたものですが、今では当たり前となっています。
また、従業員がどこからでも働くことができるようになったことから、多くの企業は、内部関係者による悪意ある行動を引き起こす可能性のある、さまざまな外的ストレス要因を見落としがちになっています。このようなストレス要因には、以下のものがあります。
- 金銭的困窮時:従業員は、経済的困難に陥ると、悪意ある行為の実行に躊躇しなくなるおそれがあります。
- リベンジ:不満をもっている従業員は、企業に報復するため、情報を漏えいするおそれがあります。これは、チーム内での不当な扱い、職場での衝突、または自宅待機、一時解雇、解雇などの結果として起こる可能性があります。
- 特権意識:従業員は、自分にデータを所有および管理する権利があると考えている可能性があります。とくに、データの入手や作成において重要な役割を担っている場合は、その可能性が高いといえます。
- 価値観の対立:企業の価値観と相容れない、宗教的または政治的信念をもった従業員は、データを漏えいしても正当化されると考えている可能性があります。
- 第三者による買収:犯罪組織や海外の諜報機関は、システムの悪用、詐欺、金銭的利益などの目的により、内部関係者を買収しようとする場合があります。
悪意ある内部関係者の検知
従業員が分散しているため、サイバーセキュリティ チームが、従業員の不満、業務成績の不振、個々人の都合など、従業員の悪意ある行動の可能性を検知することは、以前より難しくなっています。データ損失を引き起こす人的要素を軽視すると、チームは先手を打つことができず、後手後手に対応することになります。
したがって、潜在的リスクを低減するため、従業員が会社のポリシーに強く反対したり、拒絶したりする場合はとくに、チームリーダー (人事、法務、プライバシー、コンプライアンスを含む) とサイバーセキュリティ担当者間の協力体制と、緊密なコミュニケーションを強化するよう努めてください。データの窃盗や内部脅威が起きる前に一般的に見られる兆候について学んだ事業部門が多ければ多いほど、セキュリティ チームに対し事前に報告できる可能性が高くなります。
その点で言えば、セキュリティ チームは、ユーザー アクティビティとデータ移動の相関分析を定期的におこなう必要もあります。アクティビティと移動の相関分析に、潜在的なトリガーポイントに関する知見を組み合わせることで、チームは先見性をもって業務をおこなうことができ、権限の悪用やデータ損失を引き起こす可能性のあるリスクを発見することができます。
3.不完全または非効果的なプロセス
前述のように、内部脅威の平均コストは、1,145 万ドルという膨大な金額です。この金額は、内部脅威に対してタイムリーに対応するための効果的なプロセスが組織になければ、大幅に増える可能性があります。Ponemon によると、インシデントへの対応にかかる平均日数は 77 日ですが、企業の 35% は 90 日以上かかっています。これは平均で 1,371 万ドルのコストに相当します。
効率化されたプロセスを導入しなければ、チームは潜在的な脅威の追跡調査が必要かどうかを判断するために何時間も費やす可能性があります。これは Certified Collateral Corporation (CCC) 社についても同様で、同社のセキュリティ チームは、潜在的な脅威の評価に 6 ~ 7 時間かかっていました。
平均対応時間を改善する
内部脅威が発生した場合、平均対応時間 (MTTR) を短縮することが不可欠です。上述の CCC 社では、Proofpoint ITM (Insider Threat Management) ソリューションを使用することで、初期調査にかけていた時間を 6 ~ 7 時間から 10 ~ 15 分に短縮できました。
ITM プログラムで最大限の成果を上げるには、部門・部署の垣根を越えての、全従業員の参加が必要となります。これが意味するものは、参加者の中には、IT 関連の高度な専門用語や分析手法を知らない人もたくさんいるということです。理解しやすいレポート内で関連証拠を強調できるプラットフォームを使用することにより、意思決定をおこなう際に、証拠をより簡単に共有できます。
4.情報漏えい対策 (DLP) への最新アプローチの欠如
組織は今やこれまで以上にさまざまな方法で、データ損失インシデントの被害を受ける可能性があります。とくに、急成長中のギグエコノミーのように、より多くの部外者が会社の機密情報にアクセスすることが求められることを考えると、その可能性は高くなります。
かつて企業がコンプライアンスを維持するために導入した情報漏えい対策 (DLP) プログラムは、デジタル ネイティブ世代の従業員との間に、多くの軋轢を生んでいます。その軋轢から、従業員は抜け道を見つけ出します。悪気はないものの、脅威を引き起こす可能性を高めますので、情報漏えい対策 (DLP) ソリューションを導入したそもそもの目標と矛盾する結果となります。
情報漏えい対策 (DLP) アプローチを最新にする
情報漏えい対策 (DLP) に対する従来のアプローチを変えるよう、チームに促してください。結局のところ、データそれ自体が移動するのではなく、人がデータを動かしているのです。エンドポイント DLP への最新アプローチでは、ユーザーがもたらすリスクの度合いとデータの機密度の組み合わせに基づき、組織が内部脅威インシデントを検知、回避し、それに対応する方法を変える、People-Centric なソリューションを実行することが求められます。
データの移動に関するコンテキストをリアルタイムで可視化できることにより、セキュリティ チームは、危険なデータの移動をより効果的に特定することができます。これにより、組織に深刻な経済的損失やブランド価値の毀損をもたらす前に、データ損失インシデントを阻止するためのより効果的な防止および解決の取り組みが可能となります。
重要ポイント
従業員間および社内プロセス内の脆弱な箇所をさらに理解することにより、データ損失や内部脅威のリスクを回避するための対策を講じることができます。内部脅威インシデントを引き起こす可能性のある予兆の可視性を高めることにより、脆弱性に対応し、内部脅威に関連するリスクをより効果的に低減することが可能になります。
ITM プログラムの価値を認識していても、それが最終収益にどれほどの影響をもたらす可能性があるか気になりませんか?
さらに詳しい調査内容は、脅威レポート「内部脅威による損失グローバルレポート」をご覧ください。
※本ブログの情報は、英語による原文「4 Security Missteps That Make Employees (and Companies) Vulnerable to Insider Threats」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。