内部脅威は増加を続け、常に組織に影響を与え、データ損失、金銭的損害、顧客からの信頼の失墜などの問題を引き起こしています。Ponemon Instituteの最近の調査によると、内部脅威インシデント数は2018年から47%も増加しています。これらのインシデントコストは平均して1組織あたり年間1,145万ドルにのぼります。
コストはもちろんのこと、急増する内部脅威を CISO が警戒すべき理由を5つご紹介します。
内部脅威は増加を続け、常に組織に影響を与え、データ損失、金銭的損害、顧客からの信頼の失墜などの問題を引き起こしています。Ponemon Instituteの最近の調査によると、内部脅威インシデント数は2018年から47%も増加しています。これらのインシデントコストは平均して1組織あたり年間1,145万ドルにのぼります。
コストはもちろんのこと、急増する内部脅威を CISO が警戒すべき理由を5つご紹介します。
1. 内部脅威の機会が増加
内部脅威インシデントは、攻撃機会の増加、攻撃者熱心な活動、サイバー攻撃に対する検知機能の向上という主に3つの理由で増えています。会社のシステム上での個人メールの使用や、物理メディア (USB ドライブ、CD、DVD など) の使用は昔からよく用いられているデータの窃取手法です。しかし、クラウド共有プラットフォームの登場により内部脅威の様相が変化しつつあります。ほぼ無制限のクラウドストレージは、データの窃取をもくろむ悪意ある内部関係者にとって恰好のツールとなっています。
また内部関係者による攻撃機会は増えているものの、幸いなことに対応策も増えています。より多くの組織が内部脅威リスクを認識するようになり、インシデントを検知し対応するための内部脅威プログラムを構築しています。さらに、こういった People-Centric な脅威に対抗するための新しい内部脅威管理用ツールも出てきました。
2. 内部脅威の攻撃対象領域が拡大
内部関係者とは、機密データやシステムにアクセスできる人を指し、従業員、コントラクター、サプライヤー、ベンダーなどが含まれます。内部脅威インシデントは大抵、内部関係者の不注意または偶然おこなってしまった行動、アカウント侵害、または悪意ある内部関係者という3つの原因で起こります。機密情報にアクセスできる人数が多いほど制御は難しくなり、偶発的または悪意ある内部脅威による攻撃対象領域が広がってしまいます。
内部関係者は正規の認証情報を使用しているので検知が困難です。こういった脅威の検知には、異常または悪意あるユーザーアクティビティなどの振る舞いを検知するための取り組みと技術が必要になります。
3. 悪意ある内部関係者の動機はさまざま
内部脅威の動機はさまざまですが、一番多いのは金銭的利益です。[1] 内部関係者は、PII、PHI、PCI、知的財産などの機密データへアクセスして金銭的利益を得ることができます。金銭的利益以外の動機には以下のようなものがあります:
- 個人的利益:
たとえば、知的財産や顧客データを転職先に持ち出していってしまうことがあります。一部の人は、自分が雇用主に提供した仕事に関する情報は個人的に利用してもよいと考えているからです。 - 外部圧力の影響:
国家への帰属意識 (企業スパイのようなもの) や、政治的または宗教的な個人的信念が内部関係者の行動の動機になることがあります。 - 感情:
不満があったり怒りを持っている内部関係者は、雇用主、上司、同僚などに復讐するためシステムやデータを破壊しようとすることがあります。または幹部、同僚、顧客の情報を覗き見して外部に情報漏えいしたり「ドキシング」することもあります。
※ドキシング: 相手に復讐するために、その人の個人情報を本人の許可なくインターネット上にさらす行為
4. 新型コロナウイルス(COVID-19) により脅威状況が変貌
COVID-19 の世界的大流行は労働者にさまざまな影響を与えました。多くの人々が感染の恐怖、雇用への影響、今後の経済的影響などのストレスにさらされています。これらのストレスは、内部関係者が悪意ある行動を起こす原因となります。
その結果、COVID-19 は組織の脅威状況を大きく変化させました。組織では急速に在宅勤務が普及し、リモートでも企業ネットワーク内と同じセキュリティコントロールをする必要が急増しました。従業員の行動が大きく変化し、これまでのモデルでは実態と合わなくなったため、一部の行動監視ツールはほぼ役に立たなくなっています。リモートで作業するユーザーはデータの取り扱いなどへの注意が疎かになり、セキュリティ上間違った判断をしてしまうことがあります。
さらに、COVID-19をテーマにしたフィッシングメールを使って認証情報を盗もうとする外部攻撃も増えています。不注意なユーザーは、こういったソーシャル エンジニアリング攻撃に簡単に騙されてしまいます。
5. 必要な犯行の裏付け情報であるコンテキストは入手が困難
内部脅威は「人」の問題です。ほとんどのセキュリティプログラムは、技術的なコントロールや検知ツールで外部からの攻撃を阻止しようとします。しかし内部脅威は通常のユーザーと見分けがつかず、また動機はさまざまなため、これでは阻止できません。
内部脅威について検討するときに CISO が注目すべき点は、内部関係者の行動の背景「コンテキスト」です。ユーザーアクティビティ、データアクティビティ、脅威コンテキストのすべてを監視する「人」を中心にセキュリティを構築する People-Centric アプローチのソリューションは、異常または悪意あるアクティビティの検知と対応に非常に効果的です。また、内部脅威管理プラットフォームを用いれば、調査をしながら証拠も収集できます。これらの証拠は、従業員への是正措置や訴訟時に役立ちます。
ぜひ最新のガートナー社のマーケット・ガイド2020「内部脅威リスク管理ソリューション」のレポートを以下よりダウンロードすることができますので、内部脅威対策について検討する際にご参考ください。
https://www.proofpoint.com/jp/resources/analyst-reports/gartner-market-guide-insider-risk-management