ニューノーマルにおける内部脅威を考える
内部脅威対策は、現在のデジタル社会において非常に重要になってきています。「内部脅威」という用語は従来、報復や私的な恨み、あるいは国家を攻撃するために資産を盗んだり損害を引き起こす、悪意のある従業員を指していました。
しかしこの考え方は、残念ながら現在の複雑な脅威の全容を表していません。先日、元 AT&T の最高セキュリティ責任者で今は TAG Cyberの CEO である Ed Amoroso 氏とこのトピックについて話し合う機会があり、確かな情報に基づいた、示唆に富んだお話を聞くことができました。
従業員がテレワークで遠隔から分散して働くようになり、組織がニューノーマルにおける指針を模索している中、内部脅威は非常に重要なトピックになっています。
本ブログでは、ニューノーマルにおける内部脅威について Amoroso 氏 と会話した中で特に興味深かった点4つをまとめました。
1. 防御の境界線は曖昧となり、今や境界線は「人」となった
デジタル トランスフォーメーションは何年かかけてセキュリティの境界を変化させてきましたが、新型コロナウイルスのパンデミックによって、テレワークへ急激にシフトし、デジタル トランスフォーメーションはわずか数か月で実行されるようになりました。そのため、テレワークで遠隔から働く人々に対する内部脅威対策が、サイバーセキュリティ担当者にとって一番の懸念事項になっています。
これまで「内部関係者」とは、物理的にデータに近い位置にいる人を指していたため、例えば作業現場へのアクセスバッチを持っている人はセキュリティ上の脅威をもたらす可能性があると考えられていました。この頃はまだ、定義にネットワークアクセスは考慮に入れられていなかったのです。
しかし現在は、ネットワーク内のいたるところに機密情報が保存されるようになり、境界線が曖昧になりました。そして不明瞭な境界線の中で、不正アクセスされた場合は問題が大きくなります。そのため、企業は、機密データの保護アプローチを新たに考え直すべき必要がでてきています。
ユーザーが日々の業務でどのようにデータにアクセスし、操作し、共有しているかを考えると、データのロックダウンという従来のアプローチは昨今の働き方には適しません。ユーザーは複数のチャネルを使い、SaaS アプリケーション、メール、クラウドファイル共有、エンドポイントで情報にアクセスし、それらの間で情報を動かしています。さらに今、ユーザーは、従来のセキュリティ境界の外側で仕事をするようになっています。
2. バリューチェーンの分離と内部関係者リスク
テレワークへの急激なシフトが起こっていることは誰の目にも明らかですが、さらに業務が専門化し、データやリソースの共有を容易にするデジタル トランスフォーメーションが浸透するにつれ、ほぼすべての業界でバリューチェーンの分散が起こっています。
サプライヤがデータやインフラへのアクセスを取引先に提供しているような物理的なサプライチェーンと異なり、ナレッジベースのサービスの場合、このバリューチェーンは複雑になります。例えば、法律顧問や人事などの機密業務はしばしばアウトソースされており、外部の委託者が業務遂行のために情報へのアクセスを必要とすることがあります。また業務が専門化し、例えば製薬会社では、FDAバリデーションを外部の専門家に委託しています。ソフトウェア企業は、セキュリティ脆弱性チェックのためのコードスキャンをするペンテストを外部委託しています。半導体企業は製造プロセスの最適化をプロセス自動化の専門家に依頼しています。
これらの例を考えれば、誰に機密情報アクセスを許可し、こういったデータアクセスに関する内部関係者リスクをどのように管理するかという方針を考え直すときがきています。
3. 不正アクセスされたアカウントが内部脅威に
昨年 Twitter で、17歳のハッカーが「自分がTwitter の IT 部門メンバーであると Twitter 従業員に信じ込ませ、カスタマー サービス ポータルへのアクセス認証情報を騙し取った」という大きなインシデントがありました。このように、外部の人が内部関係者から直接情報を騙し取ったり、インフラや機密データにアクセスする認証情報を提供させたりすることがあります。
プルーフポイントは、個人の財務情報を狙ったり、企業への不正アクセスのためにユーザー認証情報を狙うような フィッシングも監視しています。たった一人でもフィッシングメールに騙されて重要な情報を提供してしまうと、組織全体に大きな脅威をもたらすことになるからです。
この複雑な問題を適切に管理するセキュリティ戦略を立案するには、内部脅威の定義を拡大し、不正アクセスされたユーザーも含めて内部脅威対策を考える必要があります。
メールにおけるコミュニケーションを保護し、フィッシングや情報漏えいを積極的に監視し、ユーザーのセキュリティ意識を向上し、内部脅威管理に必要な振る舞い監視アプローチをおこなうことが必要です。
4. 振る舞い分析と内部脅威管理
ユーザーアクティビティの可視化と振る舞い分析は、ニューノーマルにおける内部脅威 (不正アクセス、悪意によるもの、不注意によるもの) を早期に検知し効果的に対応するための基盤となります。
セキュリティ担当者の一番の懸念事項はユーザーのプライバシー問題です。ポリシーとツールの導入をする際はユーザーのプライバシーを考慮しなければなりません。ポイントになるのは、従業員が、自分が監視ではなく保護されているのだと理解できるような「ユーザーコントロール」設定にする必要があることです。保護以外の目的をもってツールが導入されたと感じた場合、従業員はシャドー IT を使い始めてしまいます。在宅勤務が増えた今は、容易に シャドー IT が利用できる環境になっているため、特に注意が必要です。
異常な振る舞いやポリシー違反を検知する機能はセキュリティに不可欠です。クラウドファイル共有、個人メールの利用、USB メモリなどの使用に関して厳しいポリシーが定められていても、デジタルワーカーはコンプライアンスと生産性を天秤にかけながら仕事をしています。
さらに企業はアクティビティとデータの動きを可視化したうえで、十分な情報に基づいてポリシーを決定し、インシデント対応管理をしなければなりません。
内部脅威対策を検討される場合はぜひガートナー社のマーケットガイド2020 「内部脅威リスク管理ソリューション」をご参考ください。
日本語による解説資料もご用意していますので、必要な方は「お問い合わせ」よりお知らせください。