内部リスク(内部関係者によるリスク)は現在、企業が直面している重大なサイバーセキュリティ脅威の一つです。内部関係者とは、企業のネットワーク、システム、データなどへの正規アクセス権を持つ、従業員、契約業者、ビジネスパートナーなどを指します。一部の関係者はアクセス権を意図的に悪用し、また別の者は過失やサイバー犯罪の被害によって問題を引き起こすことがあります。
この脅威による被害額は年々上昇しています。 Ponemon Instituteによると、内部脅威による平均被害額は、2023年の1620万ドルから増加し、現在は1740万ドルに達しています 。また、IBMの Cost of a Data Breach Report (データ侵害のコストに関するレポート)によると、悪意のある内部関係者による侵害は最も高額で、1件あたりの平均被害額は499万ドルです。
これは企業が無視できないリスクです。では、組織を保護するにはどうすればよいのでしょうか?リスクを理解し、強力な内部脅威プログラムを構築することから始めましょう。ここでは、内部脅威の実態、なぜ危険なのか、どう防ぐべきかを詳しくご紹介します。
内部脅威を理解する
内部脅威は、意図的なものと偶発的なものに分けられます。いずれの場合も、深刻な影響を及ぼすセキュリティ インシデントにつながる可能性があります。
内部脅威の種類
さまざまな種類の内部脅威を理解することは、効果的なセキュリティ対策を実装し、組織の機密データを保護するために重要です。以下は特に注意すべき主なタイプです。
- 悪意のある内部関係者:データの窃取や漏えい、破壊など、意図的に損害を与える人物です。
- 不注意な内部関係者: ユーザーが無自覚にデータをリスクにさらしている場合を指します。
- 侵害された内部関係者:外部攻撃者にアカウントを乗っ取られたユーザーです。
内部関係者が脅威となる仕組み
脅威は一般的に、意図的なものと意図的でないものの2つのカテゴリに分類されます。
意図的でない内部脅威
この種の内部脅威は、通常は不注意なユーザーによって引き起こされます。マルウェアのダウンロードなど、不注意な間違いを指します。または、誤った宛先にメールを送信したり、誤ったファイルを添付する、機密データを仕事のために個人のメールアカウントに送信するなど、リスクのある行動も指します。
これらの種類のインシデントは無害のように見えるものの、影響は重大となる可能性があります。重要情報または機密情報が誤った人、顧客、またはベンダーと共有される場合が特にそうです。残念ながら、これらは、予測や検知が困難で、重大な損害が発生するまで検知されないこともあります。
意図的な内部脅威
この種の内部脅威は、悪意のあるユーザーによって引き起こされ、従業員、ビジネスパートナー、契約業者、その他のサードパーティが悪意のあるユーザーになる可能性があります。 このような人は、機密データや重要なシステムにアクセスできます。 意図的に、詐欺、妨害行為、スパイを行い、個人的な利益を得たり、企業に損害を与えたりします。
機密データを失えば、大きな混乱と損害を招く可能性があります。 プルーフポイントの「Data Loss Landscape 2024 - 情報漏えいの全容」レポートにおいて、調査を行った企業の85%が、情報漏えいインシデントを経験したことがあると述べています。このグループの50%において、インシデントによる事業中断が発生しました。
内部脅威の代表的な事例
データ侵害を超える被害:Googleエンジニアによる内部脅威の事例
元GoogleエンジニアのLinwei Dingによる事例は、代表的な内部脅威の一例です。米国の検察官は、Dingが中国の2社と秘密裏に関係を持ちながら、AI関連の企業秘密を盗んだと主張しています。
何が起きたのでしょうか
Dingは、Googleの1,000以上の機密ファイルをアップロードしたと申し立てられました。これらには、AIトレーニングに使用されているGoogleのスーパーコンピューティング システムの詳細が含まれていました。盗まれたチップの設計図の中には、GoogleにAmazonやMicrosoftといったライバルに対する競争優位性をもたらしたものもありました。Dingは、中国の企業と密な関係を築いており、CTOになることを目論んでいました。彼は米国を離れる前に逮捕されました。
これが問題となる理由はなんでしょうか
内部脅威はただ情報漏えいに関するものではありません。これには、知的財産の盗難、妨害行為、さらには国家のセキュリティリスクも含まれる場合があります。このケースによって、トップのテクノロジー企業であっても脆弱であることが明るみになりました。内部のセキュリティを強化することは、外部に対する防御を強化することと同じく重要です。
テクノロジー分野における産業スパイ:Rippling対Deel
従業員管理スタートアップ企業であるRipplingは、産業スパイを行ったとして、ライバル社であるDeelに対し訴訟を行いました。
何が起きたのでしょうか
Ripplingのある従業員が社内に対して「Deel」に関連するキーワードを数千回の検索し、不正にDeelに関するRippling内部の情報を集めていたと申し立てられました。Ripplingのセキュリティチームは、この従業員が怪しい行動をとっていると察知し、ハニーポットとして、「d-defectors」と呼ばれる偽のSlackチャンネルをセットアップし、証拠をつかむ作戦に出ました。Ripplingは、Deelの上級幹部3人宛てに「SlackチャンネルでDeeLに関する批判がおこなわれている」という手紙を送信。疑わしいRipplingの従業員が、社内でそのチャンネルを探そうとしたことで、「彼がDeel幹部と連携して情報を探っているのでは」と立証したとしています。
裁判所命令により携帯電話の提出を求められた際、その従業員は浴室に閉じこもり、証拠を削除しようとしたと見られています。彼は、証拠隠滅により逮捕される可能性があることを警告されましたが、「そのようなリスクを背負ってでも削除したかった」と述べています。
なぜこれが重要なのでしょうか
これは、単なる情報窃取の事件ではなく、産業スパイです。内部脅威は必ずしもハッカーが侵入するようなものではありません。時には、信頼されている従業員の場合もあります。このケースは、企業にとって必要なのは強力なサイバーセキュリティだけではないことを表しています。実害が生じる前に、不審な行動を検知するための新たな方法が必要です。
内部脅威プログラムの目標
潜在的な内部脅威を検知する
早期検知が重要です。通常とは異なるアクティビティを検知するには、振る舞い分析やユーザー アクティビティ監視などのツールが必要です。例えば、従業員が急に大量の機密データをダウンロードしたり、業務に関係のないファイルにアクセスした場合、潜在的な脅威の兆候となる場合があります。
トレーニングと意識向上でインシデントを防止する
多くの内部脅威の主な原因は、不注意です。そのため、サイバーセキュリティについてユーザーを教育することが非常に重要です。従業員に、セキュリティ プロトコルを維持し、不審な行動を特定するために必要な知識を提供する必要があります。
脅威の調査と対応に対するプロセスを構築する
最善の防御対策を施していても、内部脅威は起こります。組織は、内部脅威が起こった場合に備えて、迅速な調査と対応を行うための明確な計画を策定しておく必要があります。たとえば、状況を分析し、ユーザーの監視、懲戒処分、法的措置など適切な対応を行う専任チームを設けることが含まれます。
プライバシーとセキュリティのバランスを取る
内部脅威プログラムにおいて重要な目標は、ユーザー プライバシーとセキュリティ制御のバランスを取ることです。デジタル変革の進展によりデータ量は大幅に増加し、リモートワークや端末の多様化によって、機密情報の脆弱性も高まっています。このようなデータを保護することは重要ですが、ユーザー プライバシーを尊重した上で行わなければなりません。
世界中の政府機関は、こうしたバランスを導く規制を設けています。例えば、以下のとおりです。
- GDPR(EU一般データ保護規則)
- CCPA(カリフォルニア州消費者プライバシー法)
- HIPAA(米国 医療保険の相互運用性と説明責任に関する法律)
- LGPD(一般データ保護法)
これらの法律はより複雑になっており、コンプライアンスは、人事部と法務部にとって最優先事項となっています。プログラムの成功を導くには、以下の疑問に答えられるようなものである必要があります。
- データはどのように収集され、使用され、削除されるのか?
- プライバシーはどのように確保されるのか?
- どのようにチェック アンド バランスが機能するのか?
- 知的財産はどのように保護されるのか?
これらの懸念事項に対処することで、プログラムは、プライバシーの権利と企業文化を尊重しながら、機密データを保護することができます。
重要な資産と知的財産を保護
内部脅威プログラムにおいては、企業秘密、財務記録、顧客データなど、貴重な企業アセットを保護することが最重要です。 アクセス制御の実装、機密データの暗号化、情報漏えい対策 (DLP)ツールの使用により、機密データを保護し、こうしたデータへのアクセスを制限すれば、リスクを最小限に抑えることができます。もう一つの重要な手順は、従業員の役割によって、機密データへのアクセスを制限し、従業員が離職した場合は速やかにアクセス権を削除することです。
効果的な内部脅威プログラムの主要な構成要素
効果的な内部脅威プログラムは、人、テクノロジー、ポリシー、トレーニング、継続的なアセスメントを組み合わせた、包括的なアプローチが必要です。
内部脅威チームに参加する従業員を構成する
内部脅威の管理と緩和を行う専用チームが必要です。このチームは、さまざまな部門の従業員で構成する必要があります。
- セキュリティ部は、リスクを特定し、こうしたリスクに対し保護するための戦略を実装するなど、セキュリティリスクを管理します。
- 人事部は、規定を適用し、従業員による不審な行動があればこれに対処します。
- 法務・コンプライアンス部は、組織が法律を遵守していることを確認し、遵守していない場合の法的影響を管理します。
エグゼクティブ スポンサーは、監視と戦略的な方向性を提供します。
テクノロジーやツールを実装する
以下のような機能を持つツールが推奨されます。
- ユーザー行動やデータ移動のアクティビティ監視
- AIを活用した行動分析によりリスクのあるユーザーパターンを特定
- アクセスとプライバシーの制御により、ユーザーの役割に基づいてデータアクセスを制限
- 監査ログと分析により潜在的リスクを特定
- AIを活用した異常検知によるパターン認識
ポリシーと手続きを構築する
リスク低減に関するルールを確立することが重要です。以下を含めるべきです。
- 企業リソースの適切な使用を定義した利用規定
- データアクセスを制限し、監視するアクセス制御ポリシー
- 不審なアクティビティの報告を従業員に奨励する報告手順
- ポリシー違反に対する措置について定めた懲戒処分
従業員を定期的にトレーニングする
内部脅威に関する教育を従業員に提供することで、従業員は、自信をもってリスクを認識し、対応することができます。効果的なトレーニングには以下を含みます。
- 内部脅威の認識。従業員は、通常とは異なるアクセス要求、大量のデータ転送、行動における急な変化など、警告サインに気付くことができなければなりません。注意する文化を築くことが早期検知につながります。
- サイバーハイジーン。 セキュアなパスワード、フィッシング意識向上、安全なデータ処理など、強力なセキュリティ習慣が不可欠です。 トレーニングでは、マルチファクタ認証(MFA)、ソーシャル エンジニアリング、適切なデータ破棄といった分野を扱う必要があります。
- 機密保持とコンプライアンス。トレーニングは、データ分類、重要な規制、非準拠による影響といった分野を扱う必要があります。
インシデント レスポンス計画を策定する
構造化されたインシデント レスポンス計画により、損害を最小限に抑え、迅速に復元することができます。以下を含める必要があります。
- 特定と封じ込め: 感染システムまたは個人を迅速に隔離します。
- 調査とアセスメント: 脅威の影響範囲と深刻度を評価します。
- 軽減と修復: 是正措置を実装します。
- インシデント後のレビュー: インシデントから学び、今後の対応に役立てます。
成果を測定する
プログラムの有効性を確認するには、検知されたインシデントの数、対応の迅速さ、組織のセキュリティポリシー遵守状況など、明確な成果指標を継続的に追跡する必要があります。これにより、弱点の特定、トレーニングの改善、戦略の見直し、全体的なセキュリティの強化につながります。
また、アンケートを通じて従業員からのフィードバックを収集し、セキュリティ意識のレベルを評価し、ポリシーが適切に遵守されているかを確認することも重要です。
まとめ
組織は、内部脅威を無視することはできません。悪意のあるものであれ、不注意なものであれ、内部脅威は重大なインシデントを引き起こし、金銭的損失や風評被害をもたらす可能性があります。そのため、プロアクティブな内部脅威プログラムを導入することが非常に重要なのです。早期検知、明確なポリシー、従業員トレーニング、適切なセキュリティツールに注力することで、リスクを軽減し、最も重要な資産を保護することができます。
今回をきっかけに、組織のセキュリティ対策を見直してみましょう。十分に内部脅威を検知し、軽減できていますか? 内部脅威プログラムを新たに立ち上げる、または強化したいとお考えの方は、ぜひこのeBookをご覧ください。
