内部脅威とは？検知とセキュリティ対策

内部脅威（インサイダー脅威）とは、企業とやりとりをしている関係者がデータのアクセス権を悪用して、組織の重要な情報やシステムに悪影響を及ぼすことです。この人物は必ずしも従業員である必要はなく、第三者であるベンダー、契約企業、提携企業なども脅威となる可能性があります。内部脅威は、意図的なものと意図しないものに分類されます。意図しない内部脅威は、フィッシング攻撃の被害に遭った過失のある従業員から発生する可能性があります。悪意のある脅威の例としては、意図的なデータ窃取、企業スパイ行為、またはデータ破壊などが挙げられます。

最大の資産である「人」は同時に最大のリスクでもあり、内部脅威の根本的な原因となっています。しかし、ほとんどのセキュリティツールは、コンピュータ、ネットワーク、またはシステムデータの分析にとどまっています。

脅威は、組織のあらゆるレベルや、機密データにアクセスできる任意の人物から発生する可能性があります。実際、すべてのセキュリティ インシデントの25%はインサイダー（内部者）が関与しています。^[1]

最新の内部脅威の統計によると、69%もの組織が過去12ヶ月間にデータの脅威やその可能性、または被害の経験があると答えています。

インサイダー（内部者）とは組織のネットワーク、システム、またはデータへのアクセスを許可されている（または許可されていた）、現在または過去の従業員、契約企業、または提携企業のことを指します。具体的には、次のような関係者を指します。

• 社員IDやアクセス可能な端末を与えられた人
• コンピュータやネットワークへのアクセスを提供された人
• 製品やサービスを開発している人
• 組織の内情に精通している人
• 保護された情報へのアクセス権を持つ人

内部脅威は、多くの場合、正当なアクセス権を持つ個人がそのアクセス権を悪用して組織の重要な情報やシステムに危害を加えるため、組織にとって重大なリスクとなります。内部脅威を効果的に検知し、軽減するためには、関連する行動パターンと技術的な指標を理解することが不可欠です。

行動パターン

高度な侵入検知システムと監視アプリケーションは、ネットワーク トラフィックとユーザーの行動パターンを分析して、潜在的な内部脅威を特定します。内部脅威に関連する一般的な行動パターンには以下が含まれます。

• データ保護とコンプライアンスのルールに頻繁に違反する
• 他の従業員と常に対立している
• 一貫して低いパフォーマンス評価を受けている
• プロジェクトや他の業務関連の任務に関心を示さない
• 出張費用を不正使用する
• 自分に関係のない他のプロジェクトに興味を示す
• 病欠を頻繁に取得する

これらの行動パターンは、インサイダーの悪意または過失を示す可能性があります。

技術的な指標

行動パターンに加えて、技術的な指標は内部脅威とデータ窃取を検知するのに役立ちます。一般的な技術的指標には以下が含まれます。

• 異常なデータ移動：データのダウンロードの急増、大量のデータを社外に送信する、Airdropなどのツールを使用してファイルを転送するなどは、内部脅威の兆候となる可能性があります。
• 未承認のソフトウェアとハードウェアの使用：過失または悪意のあるインサイダーが、データの持ち出しを簡略化したりセキュリティ制御をバイパスしたりするために、未承認のツールをインストールする可能性があります。この「シャドー IT」がセキュリティの隙間を作り出します。
• 特権やアクセス権の昇格要求の増加：機密情報へのアクセスを要求する人が増加すると、悪意のある意図や偶発的な露出による内部脅威のリスクが高まります。
• 業務と無関係な情報へのアクセス：従業員が自身の役割に関係のないデータへのアクセスを試みた場合、内部脅威の兆候である可能性があります。
• ファイル拡張子が内容と一致しないリネームされたファイル：悪意のあるインサイダーは、実際の内容を隠すためにファイルの名前を変更してデータの持ち出しを隠そうとする可能性があります。
• 通常の業務時間外の異常なアクセス時間：変則的な時間帯のログインや活動は、潜在的な内部脅威を検知するのに役立ちます。
• 複数のセッションなど、資格情報にアクセスする異常なログオン活動：不審な資格情報の使用パターンは内部脅威を示す可能性があります。また、パスワードの変更も異常な活動を示す可能性があります。
• リソースにアクセスする不明な場所：見慣れない場所からのログインは、内部脅威を示す可能性があります。

これらの技術的な指標は、行動パターンと組み合わせて使用することで、潜在的な内部脅威を特定し、関連するリスクを軽減することができます。これらの行動パターンと技術的な指標を理解し、監視することで、組織は内部脅威をより適切に検知し対応することができ、最終的に重要な情報とシステムを保護することができます。

インサイダー（内部者）とは、組織のネットワーク内にいる全ての人を指します。ほとんどの組織ではインサイダーを従業員と理解していますが、内部脅威は第三者からも発生する可能性があります。

インサイダーには以下が含まれます。

• ネットワーク管理者、経営幹部、パートナー、その他機密データへのアクセス権を持つユーザーなどの特権ユーザー
• 開発環境やステージング環境を使用してデータにアクセスする開発者
• プロファイルと資格情報が有効なまま退職または解雇された従業員
• 買収マネージャーと従業員
• 内部アクセス権を持つベンダー
• 内部アクセス権を持つ契約社員
• 内部アクセス権を持つパートナー

• 存在する組織の3分の1は、内部脅威のインシデントに直面したことがあります^[2]。
• 50％のインシデントは、個人情報や機密情報が意図せずに流出しました。^[3]
• 40％のインシデントは、従業員の記録が侵害、もしくは盗難されました。^[3]
• 33％のインシデントは、顧客の記録が漏洩、または盗難されました。^[3]
• 32％のインシデントは、機密記録（企業秘密または知的財産）が漏洩、あるいは盗難されました。^[3]

すべての組織が内部脅威のリスクにさらされていますが、特定の業界ではより機密性の高いデータを取得し保管しています。これらの組織は、データ窃取後に高額な罰金と重大なブランドダメージを受けるリスクが高くなります。大規模な組織は、ダークネット マーケットで売却される可能性のある大量のデータを失うリスクがあります。内部脅威は、知的財産、企業秘密、顧客データ、従業員情報などを売却する可能性があります。より価値の高い情報を保管している業界は、被害を受けるリスクが高くなります。

内部脅威のリスクが高い一般的な業界には以下が含まれます。

• 金融業
• 通信業
• 技術サービス業
• ヘルスケア
• 官公庁

内部脅威、特にデータへの正当なアクセス権を持つ従業員やユーザーは検知が困難です。これらの脅威は正当なアクセス権を持つという利点があるため、データにアクセスして盗むために、ファイアウォール、アクセスポリシー、サイバーセキュリティ インフラストラクチャをバイパスする必要がありません。

悪意のある特権ユーザーは、最小限の検知でデータを盗み、最も壊滅的な内部攻撃を引き起こす可能性があります。これらのユーザーは必ずしも従業員とは限らないことに注意してください。すべての機密データに対する高レベルのアクセス権を持つベンダー、契約社員、パートナー、その他のユーザーである可能性もあります。

企業は、外部脅威を検知しブロックするためのインフラストラクチャを構築するために多額の費用を費やしています。これらの脅威は、サイバーセキュリティのブロックをバイパスし内部ネットワークのデータにアクセスしたとしても、内部者とは見なされません。内部脅威は、内部ネットワークへの正当なアクセス権を持つ特定の信頼されたユーザーです。彼らは正当な資格情報を持ち、管理者は必要なデータを扱うためのアクセスポリシーを提供します。これらのユーザーは信頼された従業員、ベンダー、契約社員、経営幹部であるため、データにアクセスするための高度なマルウェアやツールを必要としません。

信頼されていない、外部の不明なソースから発生する攻撃は、内部脅威とは見なされません。内部脅威には、不審なトラフィックの動作を検知できるよう、高度な監視とログ記録ツールが必要です。ユーザーを管理する従来の方法は、盲目的に信頼することでしたが、ゼロトラスト ネットワークは、情報漏洩対策（DLP）ソリューションとともに、最新のサイバーセキュリティ戦略です。これらのフレームワークでは、管理者とポリシー作成者が、すべてのユーザーと内部アプリケーションを潜在的な脅威として考慮する必要があります。

外部脅威は通常、データを盗み、金銭を恐喝し、さらに盗んだデータをダークネット マーケットで売却するという金銭的な動機を持っています。内部脅威もこの動機を共有する可能性がありますが、より可能性が高いのは、内部関係者が高度なフィッシングやソーシャル エンジニアリング攻撃に意図せず引っかかるケースです。悪意のある脅威アクターの場合、一般的な目的はデータ窃取によって組織に損害を与えることです。

内部脅威には多くの形態があり、警告サインの特定を困難にしています。現代の内部脅威における最も一般的な基本的特徴には以下が含まれます。

• 正当なアクセス権：内部脅威は、従業員、契約社員、ベンダー、パートナーなど、組織のシステム、データ、施設への正当なアクセス権を持つ者です。
• 悪意または過失：内部脅威は、個人が意図的にアクセス権を悪用して組織に害を与える悪意のあるものと、不注意な行動によって意図せずに組織をリスクにさらす過失によるものがあります。
• 検知が困難：内部脅威は、個人が既に正当なアクセス権を持っているため検知が困難です。これにより、セキュリティ制御が正常な活動と有害な活動を区別することが難しくなります。
• 強い動機：悪意のある内部関係者は、復讐、金銭的利益、またはスパイ行為など、アクセス権を悪用する強い個人的動機を持っていることが多いです。
• 多様な戦術：内部脅威は、目的を達成するために、データの持ち出しやサボタージュから資格情報の窃取や特権の昇格まで、さまざまな戦術を用いる可能性があります。
• 特定の業界におけるリスクの増加：ヘルスケア、金融、製造、官公庁などのセクターは、データや業務の機密性が高いため、内部脅威のリスクが高まっています。

ユーザーは一般的にファイルやデータへの正当なアクセス権を持っているため、優れた内部脅威の検知は、異常な行動やアクセス要求を探し出し、この行動をベンチマーク統計と比較します。

最も成功を収め、評判の高い企業でさえも内部脅威から免れることはできません。重大なサイバーセキュリティ侵害につながった内部脅威の実例を以下に示します。

• デジャルダン：2019年、カナダ最大の信用組合は、全員が使用できる共有ドライブに顧客データをコピーすることをユーザーに要求していました。悪意のあるインサイダーが2年間にわたってこのデータをコピーし続け、970万件の顧客記録が公開されました。この侵害を軽減するためにデジャルダンは1億800万ドルの費用を要しました。
• ゼネラル・エレクトリック：ゼネラル・エレクトリックのエンジニア、ジャン・パトリス・デリアは、ライバル企業を立ち上げるために8,000件以上の機密ファイルを盗みました。FBIがこの事件を調査し、デリアは最大87か月の懲役刑を言い渡されました。
• テスラ：テスラの元従業員2名が、従業員の個人情報や生産の機密情報を含む機密情報を不正流用し、それがドイツのニュースメディアに流出しました。
• サントラスト銀行：サントラストの元従業員が、150万件の銀行顧客の名前、住所、電話番号、口座残高を盗みました。他の機密データへのアクセスはありませんでしたが、銀行とその顧客にリスクをもたらしました。
• コカ・コーラ：調査員が、コカ・コーラの従業員が約8,000人の従業員のデータを個人の外付けハードドライブにコピーしていたことを発見しました。コカ・コーラはデータ侵害を認識した後、従業員に通知し、1年間の無料のクレジット モニタリングを提供しました。
• ペガサス航空：ペガサス航空の従業員の過失により、AWSバケットの不適切な設定のため、個人データを含む2,300万件のファイルが露出しました。この事件では、飛行チャート、航行資料、乗務員の個人情報が露出しました。
• Cash App：不満を持った従業員がCash Appの顧客データを流出させました。この事例は、不満やその他の個人的な動機により悪意を持って行動する可能性のある従業員がもたらすリスクを浮き彫りにしています。

内部脅威は、制御がはるかに困難な問題です。優れたサイバーセキュリティ態勢を持つ組織でさえも、壊滅的な結果をもたらす可能性のあるデータ漏洩や侵害に遭遇する可能性があります。困難ではありますが、内部データにアクセスできる多くの従業員、ベンダー、契約社員を抱える組織にとって、指標を認識し内部脅威を検知することは極めて重要です。

内部脅威と内部リスクは、サイバーセキュリティにおいて関連する概念ですが、明確に異なります。内部リスクとは、ユーザーの意図に関係なく、企業とその利害関係者の健全性を危うくするデータ露出事象を指します。より広範で包括的な、データ中心のリスク管理または軽減アプローチに焦点を当てています。

一方、内部脅威とは、内部関係者が意図的または意図せずに、その正当なアクセス権を使用して組織に悪影響を与える可能性を指します。

内部脅威は組織の内部から発生し、その起源は意図や手法と同様に多様です。以下にこれらの様々な種類を体系的に説明します。

• 悪意のある内部脅威：正当なアクセス権を持つ個人が意図的に組織に害を与えようとすることが特徴です。これらのインサイダーは機密データをライバルに売却したり、意図的に機密情報を漏洩したり、企業システムに対して直接的なサボタージュを行ったりする可能性があります。
• 機会主義的な内部脅威：当初は悪意を持っていなかったものの、機会に誘惑された従業員から生じます。在職中に機密情報を蓄積し、退職時や他の好機に個人的な利益や復讐のためにそれを悪用することを選択する可能性があります。
• 過失による内部脅威：これらの行動は、手順の無視によって意図せずにセキュリティを損なわせます。近道を求める従業員が重要な安全対策をバイパスし、悪意なく重要な資産を意図せずに露出させる可能性があります。
• 偶発的な内部脅威：インサイダーが誤ってデータ侵害を引き起こす、意図しない事象です。ファイルを誤った受信者に送信したり、データベースの設定を誤ったりするなど、根本的な動機のない人的ミスを浮き彫りにします。
• 侵害された内部脅威：外部の攻撃者がフィッシング詐欺やマルウェアを通じて正当なユーザーの資格情報を乗っ取り、正規の従業員を装って不正アクセスを行う場合に発生します。これは虚偽の口実の下で実行される欺瞞的な侵害です。
• 共謀による脅威：これらの脅威は、インサイダーが競合他社やサイバー犯罪者などの外部組織と協力して、スパイ活動、知的財産の窃取、または不正アクセスの促進を行う場合に発生します。この共謀は、内部の知識と外部のリソースおよび能力を組み合わせることで、潜在的な被害を大幅に増大させる可能性があります。

これらの多様な内部脅威のカテゴリーを理解することは、単なる技術的な修正やインシデント対応計画を超えた、包括的なサイバーセキュリティ アプローチの必要性を強調しています。これは、すべてのレベルでセキュリティ意識と警戒を重視する組織文化を育成することの重要性を浮き彫りにしています。

組織は、データと評判に重大な損害を与える可能性のある悪意のある内部脅威を検知し軽減するための包括的な戦略を実施する必要があります。悪意のある内部脅威の検知と防止に役立つ手法とツールは以下の通りです。

• 行動分析：行動分析ツールはユーザーの行動パターンを分析して異常を特定し、潜在的な内部脅威を検知します。従業員が突然普段とは異なるファイルやシステムにアクセスしているかどうかを検知でき、検知した場合、悪意のある意図を示している可能性があります。
• 情報漏洩対策：DLPソリューションは、不正なアクセス、転送、またはデータ漏洩を特定し防止することで、機密データを監視し保護します。組織がアクセス制御を実施しデータの移動を監視するのに役立ちます。
• サイバーセキュリティ分析と監視ソリューション：ユーザーが不審な活動を示した際にアラートと通知を送信するサイバーセキュリティ分析ソリューションは、組織が潜在的な内部脅威を検知し対応するのに役立ちます。これらのソリューションは、ユーザーの活動とデータの移動についてリアルタイムの可視性も提供します。
• ユーザー行動分析：UEBAツールはユーザーの行動パターンを分析して異常を特定し、潜在的な内部脅威を検知します。従業員が突然普段とは異なるファイルやシステムにアクセスしているかどうかを検知でき、検知した場合、悪意のある意図を示している可能性があります。
• 機械学習：MLモデルは、内部攻撃に関連する行動パターンを分析することで、内部脅威を特定するように訓練できます。これらのモデルは、組織が潜在的な脅威をより効果的に検知し対応するのに役立ちます。
• 脅威ハンティング：積極的な脅威ハンティングには、セキュリティ制御だけでは検知できない可能性のある異常な内部関係者の行動を探索することが含まれます。これは、UEBA、ML、人的インテリジェンスなどの手法を使用して潜在的な脅威を特定することができます。
• 内部脅威管理とセキュリティ ソリューション：ITMソフトウェアは、ユーザーの活動とデータの移動の監視、異常な行動パターンの特定、潜在的なセキュリティ インシデントへの対応の自動化により、組織が内部脅威を検知し対応するのに役立ちます。
• リアルタイム監視：ユーザーの活動とデータの移動をリアルタイムで追跡することで、組織が潜在的な内部脅威をより効果的に検知し対応するのに役立ちます。これは、誤検知を最小限に抑えるためのカスタマイズ可能なアラートしきい値とリアルタイムの脅威レビュー機能を提供するソリューションを使用することで実現できます。
• ユーザー フィードバック ラーニング：異常検知モデルを改良するためにユーザー フィードバックを統合することで、組織は脅威検知システムを特定の組織のニーズに合わせて調整し、内部脅威検知の精度を向上させることができます。
• キルチェーン検知：サイバー キルチェーン検知を採用することで、組織はマルウェアのラテラルムーブメントや内部脅威の活動を発見し、不規則な行動とコマンド アンド コントロール（C&C）通信を特定するのに役立ちます。

これらの手法とツールを実装することで、組織は悪意のある内部脅威を検知し対応する能力を向上させ、最終的にデータ損失とシステム侵害のリスクを軽減することができます。

内部脅威は特定と防止が最も困難な脅威の1つであり、多面的なアプローチが必要です。内部脅威を効果的に阻止するために、組織は以下のベストプラクティスとツールを組み合わせた包括的なセキュリティ戦略を実施する必要があります。

• セキュリティポリシーの確立：インサイダーによる不正使用を検知しブロックするための手順を含む、積極的なセキュリティポリシーを策定します。内部脅威活動の結果と不正使用の調査ガイドラインを含めることを検討します。
• 脅威検知ガバナンス プログラムの実装：リーダーシップ チームと協力して、継続的で積極的な脅威検知プログラムを確立します。特権ユーザーを潜在的な脅威として扱い、悪意のあるコードレビューの範囲について経営幹部と主要な利害関係者に十分な情報を提供します。
• インフラストラクチャの保護：厳密なアクセス制御を使用して、重要なインフラストラクチャと機密情報への物理的および論理的アクセスを制限します。最小権限アクセスポリシーを適用して従業員のアクセスを制限し、より堅牢な本人確認システムを適用して内部脅威のリスクを軽減します。
• エクスポージャーのマッピング：組織のCISOは、内部チームを分析し、各従業員が脅威となる可能性をマッピングする必要があります。この分析により、潜在的なリスクと改善が必要な領域が浮き彫りになります。
• 脅威モデリングの使用：悪意のあるコードや脆弱性に関連する脅威ベクトルを含む、脅威環境をより良く理解するために、大規模な脅威モデリングを適用します。システムを侵害する可能性のある役割の種類と、資産へのアクセス方法を特定します。
• 強力な認証対策の設定：多要素認証（MFA）と安全なパスワードの実践を使用して、攻撃者が資格情報を盗むことを困難にします。パスワードは複雑で固有である必要があり、MFAは攻撃者がユーザーIDとパスワードを持っていても、システムへのアクセスを防ぐのに役立ちます。
• データ持ち出しの防止：ラテラルムーブメントを防止し、組織の知的財産を保護するために、アクセス制御を設置しデータへのアクセスを監視します。
• アイドルアカウントの削除：孤立したアカウントと休眠アカウントをディレクトリから直ちに削除し、未使用のアカウントと権限を継続的に監視します。元従業員などの非アクティブなユーザーが、システムや組織のデータにアクセスできなくなることを確認します。
• 異常な行動の調査：不正行為を行う従業員を特定するために、組織のLANにおける異常な活動を調査します。行動監視と分析ツールと組み合わせることで、内部脅威を効率的に特定し防止できます。
• センチメント分析の実施：個人の感情と意図を判断するためにセンチメント分析を実行します。定期的な分析により、ストレス下にある従業員、経済的困難を抱える従業員、パフォーマンスの低い従業員を特定でき、これらは潜在的な悪意のある内部関係者を示している可能性があります。
• 内部脅威検知ツールの実装：セキュリティ情報イベント管理（SIEM）ソリューション、エンドポイント検知対応（EDR）、ログ管理ツール、ユーザー行動分析（UEBA）、IT管理（ITM）、セキュリティ自動化などのツールを使用して、内部脅威を検知し防止します。
• セキュリティ自動化の活用：ベースラインのネットワーク行動を理解し、さまざまな状況に効率的に対応するために、セキュリティ自動化を実装します。
• 従業員意識向上トレーニングの活用：セキュリティ意識向上トレーニングを使用して、従業員に内部脅威アクターの可能性のある兆候を見分ける方法を教え、行動リスクの指標を認識させます。
• 定期的な監査とレビューの実施：セキュリティポリシー、手順、技術が最新で、内部脅威の防止に効果的であることを確認するために、定期的な監査とレビューを実施します。

これらのソリューションを実装することで、組織は内部脅威を阻止し、重要な情報とシステムを保護するためのセキュリティ態勢を改善することができます。

業界をリードするサイバーセキュリティ企業として、プルーフポイントは内部脅威管理と情報漏洩対策に人間中心のアプローチを取り、組織がインサイダーからの増大するリスクを軽減するための可視性、効率性、迅速な対応能力を獲得できるようにしています。プルーフポイントはこれらの内部脅威に対抗するために、複数のソリューションを提供しています。

Proofpoint Insider Threat Management（ITM）は、内部脅威を検知し防止するために、ユーザーの活動と行動に関するリアルタイムのコンテキストに基づく洞察を提供します。主な機能は以下の通りです：

• 可視性と防止：ITMは、調査を支援するためのタイムライン表示と画面キャプチャにより、ユーザーの行動の「誰が、何を、いつ、どこで」に関する可視性を提供します。また、USB、ウェブアップロード、クラウド同期、印刷などのチャネルを通じたデータの持ち出しをブロックすることもできます。
• 効率性：ITMは、セキュリティ チームがエンドポイント、ウェブ、クラウド、メールにわたるアラートを関連付け、調査を管理するのに役立つ一元的なビューを提供します。より良いコラボレーションのためのワークフローと、人事、法務、その他の利害関係者向けのエクスポート可能なレポートが含まれています。
• 迅速な価値実現：ITMは、軽量のエンドポイント エージェントを使用して迅速に導入できる、拡張性のあるクラウドネイティブ ソリューションで、一般的なユーザーとハイリスクユーザーの両方を柔軟に監視できます。

Proofpoint Enterprise Data Loss Prevention （DLP）は、ITMと統合して、過失のある、侵害された、および悪意のあるユーザーからのデータ損失に対する包括的な保護を提供します。機密データを特定し、持ち出しの試みを検知し、規制遵守を自動化することができます。

Proofpoint Security Awareness Trainingは、潜在的にリスクのあるユーザーを積極的に特定し、コンプライアンスを確保するために彼らの行動を変更することで、従業員が効果的にデータを保護するのに役立ちます。

内部脅威を軽減する方法の詳細については、プルーフポイントにお問い合わせください。

[1] Verizon. “Data Breach Investigations Report”
[2] SANS. “Insider Threats and the Need for Fast and Directed Response”
[3] CSO Magazine. “U.S. State of Cybercrime Report”