自社の従業員に起因するセキュリティリスクなど、セキュリティに関わる脅威は思いがけないほど近くに潜んでいるかもしれない。この記事では内部脅威に関わるリスクや、それを軽減するための対策を解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。
テスラ社の従業員が、元同僚から飲み会の誘いを受けたことが始まりだった。何度か食事を重ねていくと、その意図は明らかとなった。100万ドル(1億4,000万円相当)を支払う代わりに、同社のネットワークへマルウェアを忍び込ませるよう持ち掛けたのだ。首尾よくいけば、犯罪組織にテスラ社の機密情報が渡り、身代金が要求される流れとなる。幸いなことに、従業員は適切に対処したため、その企みは失敗に終わった。詳細はテスラ社へ報告され、FBI(米国連邦捜査局)の協力により話を持ち掛けてきた人物は訴えられた。
このケースでは大問題に発展しなかったからよかったが、まったく異なる結果に至る可能性もあったという事実は無視できない。実際、この事件をきっかけに、従業員は組織の大きな財産であると同時に、見落としやすいサイバーリスクにもなり得ると再認識させられた。
内部脅威のリスクを裏付ける調査もある。ベライゾン社が発表した2023年データ漏えい/侵害調査報告書(DBIR)によると、調査対象となった約5,200件の情報漏えいのうち、19%は組織内部に起因するものだった。また、Ponemon Institute社は、「従業員による重大なインシデント」に見舞われた組織に属する、ITおよびITセキュリティの専門家1,000人に対して調査を実施し、同調査では、わずか2年間で内部関係者によるセキュリティ・インシデントが44%増加したと報告されている。また、同社が2022年に公開した「内部脅威による損失:グローバルレポート」では、6,800件以上のインシデントが認められた。影響を受けた組織は、内部脅威の復旧に年間1,540万ドル(22億5,000万円相当)を費やしていると指摘している。
内部脅威に対しても拡大しているアタックサーフェス
ランサムウェア攻撃やサービスとしてのサイバー犯罪(cybercrime-as-a-service)ビジネスモデルの成長によって助長されているその他の攻撃と同様に、ソフトウェア・サプライチェーン攻撃やビジネスメール詐欺(BEC)、窃取された従業員のログイン情報を悪用した詐欺のような重大な脅威のため、サイバーセキュリティは経営層の重要な検討課題として認識されるようになった。
DX (デジタルトランスフォーメーション)が加速し、クラウド技術によって柔軟な勤務形態が実現されるに伴い、サードパーティー・ベンダーへの依存が進み、あらゆる組織のアタックサーフェス(サイバー攻撃の標的となる対象)が拡大してしまった。サイバーセキュリティ環境は、今や過去に例を見ないほど複雑化し、攻撃者はその複雑さを容赦なく悪用しようとする。組織が最も深刻なリスクを特定して優先順位をつけるのは、もはや簡単な作業ではなくなりつつある。
さらに問題なのは、外部の攻撃者への対策を講じるだけでは十分でない点だ。外部の攻撃者のみが引き起こすインシデントよりも、従業員が関与したものの方が影響が大きくなり得るからだ。しかしながら、内部脅威が「最重要案件」として扱われることは少ない。
内部脅威はすぐ側にある
内部脅威とは、企業のネットワークやシステム、データに損害を与えるサイバーセキュリティ上の脅威のうち、組織内で発生するものを指す。一般的に、現在所属している、あるいは過去に所属していた従業員や、請負業者が関わるものを指すことが多い。
内部脅威は2つに大別され、意図的なものと意図的でないものが挙げられる。意図的でないものは、さらに事故と不注意に分けられる。ある調査では、従業員が関与したインシデントの多くは悪意によるものではなく、不注意や過失が原因になっていると報告された。
内部脅威にはさまざまな種類があり、機密情報の窃取や誤用、社内システムの破壊、悪意のある攻撃者へのアクセス権限付与などが含まれる。これらの脅威は、金銭的な理由や報復、イデオロギー、過失、単純な悪意といった異なる動機によって実行される。
また、内部脅威には特有のセキュリティ課題がある。外部の攻撃者に比べて従業員は攻撃の機会が多いこともあり、それらを検知するのは困難で、防御するのはさらに難しい。当然ながら、従業員や請負業者は、業務遂行のために組織のシステムやデータに対して上位のアクセス権限を正当に得ているからだ。そのため、攻撃が実際に行われるか、あるいは損害が生じた後にならないと脅威が明らかにならない可能性がある。また、従業員は企業のセキュリティ対策や手順に精通しているため、それらを容易に回避することも可能だ。
セキュリティ対策として身元調査を実施する場合もある。しかし、人の気持ちは時間の経過とともに変化していく可能性があるため、心理状態まで正確に把握できるわけではない。
内部脅威の検知が困難であるとは言え、企業が内部脅威のリスクを軽減するための対策はある。それらは、セキュリティ管理とセキュリティ意識の文化、さらにはツール、プロセス、人材の組み合わせに及ぶ。
内部脅威のリスクを軽減する5つの予防策
ここで紹介する5つの予防策は、サイバーセキュリティの完全な解決策というわけではない。しかし、組織を内部脅威から守るために有効な手段となり得るだろう。
1)アクセス制御の実装:役割ベースのアクセス制御(RBAC)のようなアクセス管理の仕組みを導入すると、必要な従業員にのみ機密性の高いデータやシステムへのアクセス権を付与できる。職務に応じて従業員のアクセス権を許可すれば、内部脅威に晒されるリスクを劇的に軽減できるだろう。従業員の役割に沿ってアクセスレベルを適切に設定するよう、定期的にアクセス権を確認する必要がある。
2)従業員のアクティビティを監視:業務用端末や社内ネットワークにおける従業員のアクティビティを監視するツールは、内部脅威の兆候を示す疑わしい振る舞いを特定することができる。また、異常なデータ転送や、機密性の高いシステムやデータに対する疑わしいアクセス履歴を発見するのにも役立つ。ただし、モニタリングにおけるプライバシーに関する懸念を解消するために、監視方法の明確なガイドラインを制定し、現地の法令を遵守しなければならない。
3)身元調査の実施:潜在的なリスクを特定するよう、機密情報や社外秘のデータに対するアクセス権を付与する前に、従業員や請負業者、ベンダーに対する身元調査を実施すると良い。これらのチェックは、個人の職歴や犯罪歴を検証する手続きも含まれる。
4)情報セキュリティ研修の整備:従業員に対して定期的に情報セキュリティ研修を実施することで、サイバーセキュリティリスクへの理解を深め、そうしたリスクを軽減するのに役立つ。フィッシング詐欺など、意図しない内部脅威の発生率を低減することができるだろう。
5)データ損失防止(DLP):DLPシステムの導入により、機密情報の不正な転送や共有を監視、検知、阻止できる。これにより、内部脅威を減らすだけでなく、機密情報を守るのに役立つ。ただし、DLPベンダーも攻撃者の標的になる可能性があるため、新たな心配の種となる。
注意しなければならないのは、これらの対策はどれも単独で万全を期すものではなく、単一のソリューションで内部脅威を完全に排除できるわけではないということだ。しかし、これらの施策を組み合わせて実施し、定期的にセキュリティ・ポリシーを検証し、更新することで、組織は内部脅威のリスクを大幅に軽減できるだろう。
情報セキュリティ研修に関する注記
先述の情報セキュリティ研修を上位の対策として取り上げるのには、いくつかの理由がある。まず、研修によって意図しない内部脅威のリスクを軽減すれば、企業は一定のコストを削減できるからだ。
多くの場合、従業員はサイバーセキュリティリスクにあまり注意を払わない。意図せずフィッシングリンクをクリックしたり、マルウェアをダウンロードしたり、機密性の高い内部情報をシェアしてしまったりして、情報漏えいなどのインシデントを引き起す。従業員への定期的な研修によってインシデントを防止できれば、内部脅威に起因するコストや、漏えいと法的トラブルに関連する風評被害も軽減することができるだろう。
加えて、情報セキュリティ研修によって、個々のセキュリティ環境と企業全体のセキュリティ体制を改善し、業務効率や生産性の向上につながる。インシデントを察知したら報告するよう、研修で指導された従業員は、セキュリティ上の脅威に早く気付き、対応策を講じることができるからだ。これにより、インシデントの影響や関連するコストを削減できるのだ。
企業における特定の要件に合わせた対策を組み合わせて実施することが、内部脅威に対抗するためには重要で、長期的にはコスト削減につながる最適なアプローチとなるだろう。