組織のデータセキュリティを心配するなら、組織のネットワークに潜む「ゾウ」（エロファント、elofants）を見つけ出すべきである。「エロファント」とは「Employee Left Or Fired, Access Not Terminated」すなわち、職場を去った、あるいはクビになりながらも、職場のネットワークにアクセスをやめない元従業員のことである。このゾウたちは、セキュリティに関わっている者であれば誰でも発見したことがある。標準的な組織のネットワークであればどこにでも、統計的に言えば、少なくとも１頭のエロファントをかくまっていると考えることができる。

組織を去った者について、彼らは同僚であり友人であったこともあり、あしざまに言うのは誰しも望むところではない。だが、サイバーセキュリティと人間の本性の現実をシビアに見ると、こういった消えることのない「幽霊アカウント」は、組織にとっての1つの脅威と考えざるを得ない。

はっきり言うと彼らの存在は、組織の情報システムのセキュリティの信頼性、堅牢さ、利便性を危険にさらしているのである。こうした主張を裏付けるため、以下では、幾つかのデータを挙げてそのリスクと対応について少しお話ししたい。

DBIRの見解

長年の間、北米では春になるころ、「ベライゾンデータ漏えい/侵害調査報告書（DBIR)」 が発表される。これはセキュリティインシデントと漏えい/侵害についての現在最も包括的な統計と分析で、一般人も利用可能なものとして公開されているものだ。

今年のデータは100,000件を超えるインシデントについてで、そのうち3,000件を超えるケースがデータ漏えい/侵害と確認された(Verizon. 2016)。

今年のレポートの要点としては以下のことが挙げられる。

‐ 金銭目的がインサイダーの攻撃の第一の動機に返り咲いている。

‐ あるまとまったデータへの攻撃を援助するために別のデータへの攻撃を仕掛ける「2次的な動機による攻撃」の数が増えている。

‐ フィッシング詐欺メールを開封する人は減っているどころか増えている（開封率は23%から30%に上昇）

‐ フィッシングは猛威をふるう2つの脅威のカテゴリーへ分類される。ハッキングとマルウェアである（この見解は最新のAPWGレポートで詳細に解説されている）

‐ 漏えい/侵害は発覚までに時間を要する。漏えい/侵害した時期とそれが発覚した時期とのギャップは2015年のDBIR（データ漏えい/侵害調査報告書）と比して35%上昇している。

一般ユーザーはおそらくDBIRのレポートを読んでいない。だが、セキュリティ関係者はまず間違いなくこれに目を通す。たとえユーモアのかけらもなく書かれていたとしても、ほぼ必須のものとして読む。けれどもユーモアのセンスは、不正なアクセスからデータとシステムを守ろうとする世界中の努力を全て集めてもまだ十分でないというつらい現実に直面する人々にとっては、一服の清涼剤として大事なものである。そうしたDBIRのスタイルの一例がある。「インサイダーの立場と特権の乱用」として分類される漏えい/侵害のカテゴリ―についての観察に見られる。DBIRはこれを「通常、もっぱらTGYFBFTDHRAを連想させる」と述べている。この文字列の説明として、脚注にはこう書かれている。これらの文字は次の語句の略語である。「That guy you fired but forgot to disable his remote access」――自分がクビにしておきながらそのリモートアクセス権を無効にすることを忘れている人物、という意味である。

この「TGYFBFTDHRA」を受けて、もっとシンプルで包括的な意味の頭字語はないかと考えたのが「ELOFANT エロファント」である。だが、なぜこれが問題なのか。それは、誰かがクビにした人物だけが、しつこいアクセスの唯一の原因ではないからだ。確かに、セキュリティインシデントの原因をたどってみると、クビにされたもののアクセス権からは閉め出されていない者の存在に行き着くケースが数多くある。しかし他方で、自らの自由意志で退社した場合であっても、忘れられたアクセス権を悪用するやからがいないわけではないのだ。環境が変われば、悪事に手を染める動機が新たに現れることもあり得るのが、現実というものだ。ひょっとしたら彼らは競合他社に雇われて古巣に舞い戻り、商売上の秘密や機密の価格表、あるいは顧客データを盗んでくるようにプレッシャーを掛けられることもあるかもしれない。円満退社してもその後態度が変わることもあり得る。退職金が期待していたほどでなかったり、退職後の医療保険が彼らをがっかりさせる程度しかないこともあり得るのだ。

エロファントはまだ社内にいる

この手の脅威にうまく対応するために、セキュリティのプロたちは「CERT」（コンピューター緊急対応チーム）インサイダー脅威センターによって収集されたインサイダーについての大量の事例研究を調べることができる。そこには銀行(Randazzo, Keeney, Kowalski, Cappelli, and Moore, 2004)、情報技術とテレコミュニケーション (Kowalski, Cappelli, Moore, 2008)、重要インフラ(Keeney, Kowalski, Cappelli, Moore, Shimeall and Rogers, 2005)、金融サービス(Cummings, Lewellen, McIntire, Moore, and Trzeciak, 2012)といった多岐の分野にわたる多くの企業が被害を受けた、インサイダーによる何百ものコンピューター犯罪の事例が記録として残されている。センターの第一の目標はインサイダーの脅威を緩和する実際的な方法を発見し広く知らしめることにあり、これらの事例研究はアカデミックな基準に従って分析がなされている。例えば、発見したことを全ての組織に一般化することはできないといった方法論上の限界については、はっきりと明言されている(Cappelli et al, 2012)。

これらの研究が表しているのは、いかに多種多様のインサイダーが機を見ては犯罪に加担するかということである。それはしばしば従業員として、あるいは契約者として彼らに置かれた信用をただ単に裏切ることによって行われることもあるのである。あるインサイダーは、エドワード・スノーデン(Edward Snowden)氏のように(Poitras, 2014)、組織の物的な、あるいはデジタルの資産に深く入り込むことのできる「スーパーユーザー」としての権限を持っているかもしれない。しかし、わずかな技術上のスキルしか持たず限定されたアクセス権しかないインサイダーによって犯罪が行われた数多くの事例も、CERTは記録しているのである。

彼らが今なおアクセスしているということは、エロファントは今も信用され続けているインサイダーということになる。そして次のことが インサイダーなら必ず当てはまる。それほど貴重な価値を持つコンピューター内のそれほど数多くの情報にそれほど数多くアクセスしたことのある者は、決してそれほど数多くいるわけではない、のである。なお、盗まれた情報は決して安易に持ち出したり現金化することはできない(Ablon, Libicki and Golay)。そしてこれは事態のリスクをより高めることではあるが、2016年のDBIRではこう述べられている。「発見するのに最も長い時間を要したインシデントは、こういったインサイダーの仕業であったということが明らかになった」と。

では、どんな組織がインサイダーによるインシデントに深い打撃を受ける傾向があるのだろうか。2015年では公共部門、保健医療部門、クレジットカード会社のような金融サービス、銀行、高利貸しといったものがそうだったとDBIRでは述べられている。

内部の脅威に対する防衛は全ての組織にとって非常に扱いが難しい。しかし防衛戦略の範囲はCERTのガイドによってかなり深いところまでカバーされている。DBIRは3つの有益な策を示しており、大筋で誰もが納得できる内容となっている。それは次のように要約できる。

• 価値あるデータへの従業員のアクセスをモニタリングすること（良質の情報の損失を防ぐプログラムが助けとなる）
• リムーバルメディアの使用を制限すること（良質のセキュリティ対策ソフトや暗号化ソフトでこれを行うことができる）
• アクセスの権限を管理して制限すること、そしてエロファントたちを取り除くこと