Insider Threat Management

テレワークの内部リスク軽減フレームワーク

在宅勤務への移行によって、従業員の問題ある振る舞いを検知できるプロアクティブなコントロールの必要性が認識されてきています。リスク軽減プログラム (Risk Mitigation Program: RMP) やリスク管理フレームワークといったものには、Web サイト、ファイル共有、新しいコミュニケーション チャネルにおけるアクティビティの監視も含まれることがあります。

プルーフポイントは、リモートワーカーと内部関係者リスク対策のガイダンスとベストプラクティスを提供し、またリスクに基づいたアプローチとプライバシーのバランスを説明する ウェビナー を開催しました。ここではリスク軽減フレームワークのウェビナーの内容のサマリをご説明します。

このブログでは、以下を通して、テレワークによるリスクを評価しそれを軽減する最新アプローチをご紹介します。

  • 真の包括的リスク軽減プログラムとは
  • プロアクティブなリスク軽減プログラムが重要な理由
  • 全体的リスク軽減プログラム導入におけるプルーフポイントのサポート

 

テレワークとそのリスク

まずは在宅勤務をおこなう人々と、これらの人がもたらす「リスク」のタイプを定義しなければなりません。

在宅勤務をおこなっているのは従業員だけではありません。派遣社員や臨時労働者、コントラクター、コンサルタント、そして社内システムへの特権アクセスを持つ人も含むことがあるため、明確に「部外者」と区別することは簡単ではありません。リスク軽減プログラム(RMP) を計画する際には、適切な監視対象選定が重要になってきます。

 

内部関係者リスクの「種類」

セキュリティ問題のほとんどに内部関係者が絡んでいることは一般にはあまり知られていません。実際のところ、 セキュリティインシデントの74%は、ハッカーではなく内部の関係者によって引き起こされています。 従業員の行動による IT セキュリティ インシデントは 42%に上っています 企業では 重大セキュリティ インシデント1件あたり平均64万4,852ドル のコストがかかっています。そのため リスク軽減プログラム(RMP) を導入し、1件インシデントを防げば、元が取れる計算になります。

しかしすべての内部関係者に悪意があるのでしょうか。答えは「いいえ」です。インシデントを起こす内部関係者は主に以下に分類されます。

Types of Insider Risk

 

懸念すべき内部関係者リスク

テレワークする人々がもたらし得る潜在的リスクには1つまたは複数のリスク軽減対応が必要であることを理解した上で対処することが重要です。

リスクカテゴリ

Description

Examples

コンプライアンス
リスク

コンプライアンス リスクは、法律、規制、行動規範、または 組織の実務基準 の違反によって組織自身、組織の財務や評判に悪影響を与える脅威です。

  • 社内や社外のポリシー、規則、規制の違反
  • 現在よく発生するのは企業への信頼性低下の問題で、時には CEO や従業員の解雇の原因にもなる

行動リスク

UK FCA のような規制当局によると、行動リスクとは、顧客に最終的に害を及ぼすような意思決定や振る舞いによって発生するリスクであり、また企業が市場での正しい行動や完全性を維持できないことによって発生するリスクを意味します。

  • 顧客に不適切な取引を推奨
  • 従業員による市場を乱す行為や不正操作

法的リスク

法的な問題によって企業や個人が損失を受ける可能性があります。法的な問題は、訴訟、法律の変更、自身を保護するために適切な法的措置を講じなかったことなどにより発生します。

  • 職場でのハラスメントや差別
  • 契約の問題

内部関係者によるサイバー脅威

これは、組織のセキュリティ、データ、システムの内部情報を持つ従業員、元従業員、コントラクター、事業関係者などの内部関係者による、悪意のある脅威です。脅威には、詐欺、機密情報または商業価値のある情報の窃盗、知的財産の窃盗、またはシステムへの破壊行為などが含まれます。

 

  • 意図的で無許可の情報システムアクセス
  • 意図しないまたは偶発的なセキュリティ違反
  • システムの不完全性などによる運用上の IT リスク

ウィズコロナの時代に、従来型のネットワーク境界防御は役に立たなくなりました。その代わり、テレワークが浸透する今、「人」を境界であると考えて防御を築かなければなりません。しかし、組織を保護するうえでの最大の問題は、アクティビティログだけで人を正確に理解することはできないということです。人を理解するには その振る舞いと背景にある意図を理解しなければなりません。意図を理解するには コンテキスト情報を理解しなければなりません。これにより、リスク軽減フレームワーク内での 内部脅威検知 はより複雑になります。正当な理由をもってシステムやデータにアクセスできる人は、間違った目的や不正な目的でもアクセスできてしまうからです。そのためコンテキスト情報が非常に重要になってきます。

リスク評価とリスク軽減フレームワーク内のコンテキストと意図を理解するため、包括的な監視プログラムが利用されるようになっています。これはシステムエンドポイントからの振る舞いデータ (ファイルや Web へのアクセス等) と「内部関係者」のコミュニケーション データを使って、問題が発生する前に潜在的な問題を可視化します。

Types of Insider Risk Context

包括的なコミュニケーション監視プログラムの仕組み

以下は、コミュニケーションと振る舞いデータをもとにしたコンテキストがリスク軽減対策を適切におこなうためにどのように役立つかを説明するサンプルシナリオです。

シナリオ1: コミュニケーションを用いたエンドポイントでの振る舞い検知でコンテキストを生成

内部関係者 A は「顧客リスト」をダウンロードし、ファイル名前を変更し、パスワードを掛けた Zip ファイルにしました。次に Dropbox をインストールして、Zip ファイルをアップロードしてから、このファイルを個人の Gmail アカウントにメール送信しました。

この「一連のアクション」は 内部脅威管理 エンドポイント検知で記録されましたが、「なぜ」これが発生したのか、またこれを他のアラートよりも優先的に対処しなければならないのかはわかりません。ここでコンテキスト情報を活用すると、内部関係者 A の行動を理解できるようになります。

コンプライアンスと行動リスク検知により、内部関係者 A、B、C が関与する危険なコミュニケーションを明らかにできます。ここでは内部関係者 A は、悪意を持ち退職の意思のある「有害な従業員」のリスクがあるとして検知されます。

そこでインシデント アナリストはコンテキストをもとにして内部関係者 A を「ウォッチリスト」に追加し、A がさらにデータの抜き出しをしないか監視し、また顧客リストの漏えいの優先順位をあげて調査します。

 

内部脅威調査の手法

以下のE-Bookでは、内部脅威の調査手法についてステップを説明しています。リスク軽減プログラムを策定する上で参考にしてみてはいかがでしょうか?

E-book「内部脅威の調査方法

内部脅威の調査方法