2020年 Verizon データ漏えい調査レポート (2020 Verizon Data Breach Investigation Report) によると、セキュリティ侵害の30%は内部関係者によって引き起こされていました。さらに、2020 年 Ponemon Institute 内部脅威による損失レポート (2020 Ponemon Institute Cost of Insider Threats Report) によると、内部脅威の頻度は過去2年間で47%増加しています。またこれによるコストは2018年から31%増加しています。
内部脅威は多くの業界で問題となっていますが、金融業界では特に頻繁に発生します。こういった攻撃は、データの窃取や金融詐欺だけでなく、顧客からの信頼の喪失、ブランド価値の低下、利益損失を目的としています。
金融セクターにおける内部関係者によるインシデントは、以下のようなことを引き起こします。
- 詐欺
- 財務的損失
- 情報漏えい
- 罰金
- その他
この業界はまた内部脅威によるコストが高く、年平均で1,450万ドルにのぼり、2018年から20.3%増加しています。
このブログでは、金融セクターでの内部脅威リスクとその対処方法について説明します。
さまざまな脅威、さまざまな動機:
内部脅威の3つのプロファイル
金融サービスは悪意ある内部関係者にとって非常に魅力的なターゲットです。彼らの主な目的は金銭的利益を得ることです。しかし金融サービス企業における内部脅威には3つの種類があり、それぞれに合った検知と対応の戦略が必要だということに注意してください。
- 悪意ある/意図的な内部脅威: 不満を持つ従業員や金銭的利益を求める従業員
- 不注意によっておこる偶発的な内部脅威: 意図せずして危険な行為をしてしまった従業員やその他の関係者
- 認証情報の窃取による脅威: 攻撃のために内部関係者の認証情報を盗むこと
これらの内部脅威へは、それぞれに異なる対応が必要です。悪意ある内部関係者の対処は懲戒処分が多く、解雇や契約の終了が必要となることもあります。不注意によって起こる偶発的な内部脅威の場合は、ポリシーを再認識させ、セキュリティトレーニングを行うことが効果的です。認証情報の窃取による脅威の場合、大抵は外部の攻撃者によるものになりますが、そもそもの内部要因である漏えいの結果悪用された認証情報への対処も必要です。
これらの区別は、インシデントの前、最中、後に何が起こったかを可視化できる、内部脅威管理用に設計されたプラットフォームにしかできません。こういったプラットフォームは、適切なインシデント対応に必要なコンテキスト(背景情報)を入手するためには欠かせません。
スポットライト:
現実世界における金融業の内部脅威
内部脅威が実際に発生したシナリオは、インシデント対応計画や机上での演習に役立ちます。これを用いれば、内部脅威対策に関して、どのセキュリティスタックの領域に改善が必要かを明らかにすることができます。
ここ数年、重大な内部脅威インシデントがニュースになっています。例えば、南アフリカの Postbank で内部関係者によるセキュリティ侵害が起こりました。このインシデントでは、複数の従業員が共謀してマスター暗号化キーをコピーしました。銀行のシステムと口座残高へのアクセスや、銀行カードのリセットが可能になる暗号化キーです。これにより、1,200万枚の銀行カードの交換に5,800万ドルのコストがかかり、損害賠償額は335万ドル以上にのぼりました。
もう一つの例には Shopify Inc でのインシデントがあります。2名の従業員が100以上の店舗からデータを盗み、同社の eコマースソフトウェアを使った Web ストアの買い物客の個人情報が漏えいしました。 同社はこの2名のネットワークアクセスを遮断し、FBI やその他の国際機関と協力してこの「犯罪行為」を調査しています。
金融サービスにおける
内部関係者によるセキュリティ侵害の防止方法
さまざまな内部脅威への防御策を強化するには3つの重要な点があります。これらは金融サービスにとって特に重要です。
1. セキュリティ意識向上トレーニング
まず最初に、定期的なセキュリティ意識向上トレーニングです。これは少なくとも半年に1回実施すべきです。トレーニングは、認証情報を盗もうとする部外者や悪意ある従業員による高度な攻撃を識別できるようになることを目的とします。セキュリティ意識向上トレーニングは、それぞれの部門や役割で起こりやすい攻撃に合わせたものにします。これは偶発的な内部脅威や認証情報の盗難の阻止に最も効果的で、また悪意ある内部脅威の阻止にも一定の効果を期待できます。
データ漏えい対策
データ漏えい対策 (DLP) ソリューションへの投資も重要です。理想的な DLP ソリューションには脅威インテリジェンスが内蔵されており、いつデータが危険にさらされているかがわかります。リスクはアカウント侵害 (認証情報の盗難等) や意図的な悪意ある行動により発生します。DLP は、メール、クラウド、その他のサービスにわたってデータを監視して、セキュリティチームがデータ漏えいのサインにすぐに対応できるようにします。内部脅威は早く発見できればできるほどリスクを抑えられます。
内部脅威管理
最後に、目的に応じて構築された内部脅威管理プラットフォーム (ITM) への投資が必要です。これらは現在のところ、3つの内部脅威を区別できる唯一のツールです。ITM プラットフォームは、従業員やサードパーティの異常行動について、「誰が、何を、いつ、どこで、なぜ、どのように」を可視化し、コンテキスト インテリジェンスを提供します。これを使えば、セキュリティチームはアクティビティとデータの動きの相関関係付けができるようになり、ユーザーリスクの特定、内部関係者によるデータ侵害の検知、セキュリティ レスポンスの迅速化が可能になります。
上記の3つの戦略を実行すれば、内部脅威を迅速に検知および調査でき、また十分なコンテキストをもって適切な対応ができるようになります。
これらすべては、金融サービスでリスクとなる、副次的な影響を防ぐ鍵になります。
詳細
さらに詳細は、E-Book「金融サービス業界における内部脅威」をご覧ください。
https://www.proofpoint.com/jp/resources/e-books/managing-insider-threats-in-financial-services