内部脅威とは？インサイダーとは？検知とセキュリティ対策

内部脅威とは、企業とやりとりをしている関係者がデータのアクセス権を悪用して、組織の重要な情報やシステムに悪影響を及ぼすことです。この人物は必ずしも従業員である必要はなく、第三者であるベンダー、契約企業、提携企業なども脅威となる可能性があります。

最新の内部脅威の統計によると、69%もの組織が過去12ヶ月間にデータの脅威やその可能性、または被害の経験があると答えています。内部脅威の統計を詳しく見る。

• 社員IDやアクセス可能な端末を与えられた人
• コンピュータやネットワークへのアクセスを提供された人
• 製品やサービスを開発している人

• 組織の内情に精通している人
• 保護された情報へのアクセス権を持つ人

前述したインサイダーが意図的または無意識的にアクセス権を悪用して、組織の重要な情報やシステムの機密性、完全性、可用性に悪影響を及ぼすことを指します。

最大の資産は、同時に最大のリスクでもあります。内部脅威の根本原因は、「人」です。しかし、ほとんどのセキュリティツールは、コンピュータやネットワーク、システムのデータを分析する機能しか持ち合わせていません。

脅威は、どの方面からでも、また機密データにアクセスできる誰からでもやってきます。全セキュリティインシデントの25%がインサイダーによるものです^[1]。

社員

• IT担当者や管理権限を持つ特権的なユーザー
• アナリストやエンジニアなどの社員
• 退職済みの社員
• M&Aに関わる社員

社外関係者

• ベンダー
• 契約企業
• 提携企業

• サボタージュ
• 知的財産（IP）の盗難

• スパイ行為
• 詐欺（金銭目的）

• ヒューマンエラー
• 判断ミス
• フィッシング
• マルウェア

• 無意識の加担
• 認証情報の盗難
• 利便性を求めた不正利用

存在する組織の3分の1は、内部脅威のインシデントに直面したことがあります^[2]。さらに残りの組織は、まだ気づいていないだけで被害にあっている可能性が高いです。

50%

のインシデントは、個人情報や機密情報が意図せずに流出しました。^[3]

40%

のインシデントは、従業員の記録が侵害、もしくは盗難されました。^[3]

33%

のインシデントは、顧客の記録が漏洩、または盗難されました。^[3]

32%

のインシデントは、機密記録（企業秘密または知的財産）が漏洩、あるいは盗難されました。^[3]

• 金融業
• 通信業
• 技術サービス業

• ヘルスケア
• 官公庁

内部脅威を阻止するためには、悪意の有無にかかわらず、すべてのユーザーの活動を継続的に監視し、インシデントが発生した場合には対策を講じる必要があります。

内部脅威が引き起こすリスクは、マルウェアのインストール、金融詐欺、データの破損、重要情報の窃盗など、数多くあります。これらすべての可能性に対処するために、企業は以下の6つの主要な機能を備えた内部脅威ソリューションを導入する必要があります。

内部脅威の検知

不審な行動を特定することで、リスクのあるユーザーの活動を発見します。

インシデントの調査

疑わしいユーザーの行動を数日ではなく数分単位で調査します。

インシデントの防止

リアルタイムでユーザーに通知し、ブロックすることでリスクを低減します。

ユーザーのプライバシー保護

ユーザーのデータを匿名化することで、従業員や契約者のプライバシーを保護し、規制に対応します。

コンプライアンスの遵守

内部脅威に関する主要なコンプライアンス要件を満たすことができます。

ツールの統合

内部脅威対策と検知をSIEMやその他のセキュリティツールと統合することで、より高い洞察力を得ることができます。

[1] Verizon. “Data Breach Investigations Report”
[2] SANS. “Insider Threats and the Need for Fast and Directed Response”
[3] CSO Magazine. “U.S. State of Cybercrime Report”