CISO 意識調査レポートによると、内部脅威は、情報セキュリティ最高責任者 (CISO) にとって最大の懸念となっています。 理由は簡単です。戦略的な機密データを守ろうとする組織にとって、リモートワークへの移行、DXの推進、そして「大量退職時代(The Great Resignation)*1」 (かつてない従業員離職率の時代、あるいは「The Great Shuffle」とも呼ばれます) により、情報漏えいのリスクが増加しています。 内部脅威の影響と増加については、ニュースを見れば明らかです。たとえば、LastPass データ侵害*2は、2,500 万人のユーザーに影響を及ぼしました。
内部脅威リスクのない組織は存在しません。なぜならどの組織も「人」で成り立っているからです。データは勝手に流出するものではなく、データを不適切に扱うのは「人」です。結果として、内部脅威への対処と意識向上には、People-Centric アプローチにより、コンテンツを越えたコンテキスト(文脈、背景情報)の理解を目指す必要があります。しかし、コンテキストの理解とは具体的に何を意味するのでしょうか。事業中断を最小限に抑えながら内部脅威を効果的にコントロールするには、どうすればよいのでしょうか。 深く掘り下げてみましょう。まず、内部脅威とは何かです。
内部脅威と内部リスク
内部脅威も内部リスクも、内部関係者 (インサイダー) によってもたらされます。内部関係者とは、組織のネットワーク、システム、またはデータへのアクセスを許可されている、または許可されていた、従業員、元従業員、契約業者、ビジネスパートナーなどを指します。つまり、内部関係者は信頼されるポジションにある人たちです。内部関係者が故意または誤って自分の利益のためにこのポジションを利用すれば、組織にとって脅威となります。
「内部リスク」と「内部脅威」は、区別なく使用されることがありますが、厳密には違います。内部脅威は、内部リスクの一部です。組織のデータとシステムにアクセスできるすべての内部関係者は、組織にとって内部リスクです。しかし、すべての内部関係者が内部脅威となるわけではありません。この区別は重要であり、これを適切に管理するには戦略的・戦術的アプローチが必要です。
内部脅威の種類
内部脅威には主に次の 3 種類があります。
- 不注意なユーザーは、誤って顧客データを外部に共有する、または機密の戦略文書を USB メモリにコピーするなど、悪意はありませんが判断を誤るユーザーを指します。 2022 年 Ponemon 内部脅威による損失:グローバルレポートによると、不注意なユーザーは内部インシデントの 56% を占めています。
- 悪意のあるユーザーは、個人の利益のために組織に害を与えようとする者です。 退職時に営業秘密や知的財産を持ち出すことなどが、これに当てはまります。 悪意のあるユーザーの割合は、すべての内部インシデントの約 4 分の 1 ですが、財務やブランド価値に与える影響が大きいことから、一般にニュースなどで大きく取り扱われます。
- 不正アクセスを受けたユーザーは、組織のデータやシステムへのアクセスを試みる攻撃者によって認証情報が盗まれたユーザーを指します。 一般的に、こうしたユーザーは、情報にアクセスできる特別な権限を持っているために、外部の攻撃者の標的になります。不正アクセスを受けたユーザーは内部インシデントの 18% を占めています。
内部脅威の種類とコンテキストを理解することは、最適な対応を判断するために不可欠です。
信号無視とコンテキスト
コンテキストの役割を理解するために、赤信号を無視して進む車を例に考えてみましょう。
あなたは警察官だとします。あなたはちょうど、大きな交差点にさしかかりました。近づくと、赤信号を進む車が見えます。一見したところ、考える余地はありません。車は明らかに交通規則に違反したわけですから、切符を切るのが当然です。しかし、すべての信号無視を同様に扱うべきでしょうか?
より多くのコンテキストがあった場合を考えてみましょう。この車は交差点で 10 分待っていましたが、信号が壊れていると判断したため進むことにしたと判明したらどうでしょうか?この場合、コンテキストを考慮して、切符は切らないことにするでしょう。この車のドライバーは不注意なユーザーに似ています。悪気はないのですが、行動が少々不注意です。
別の車を追うために信号を無視して進んだのだとしたら?赤信号の前で、2 台の間であおり合っていたのかもしれません。このままだと、1 台目のドライバーは 2 台目のドライバーに危害を加えるかもしれません。できる限りすばやく対処する必要があります。
このドライバーは、銀行強盗をはたらいた後、盗んだ車を運転していたのだとしたら?調査を進め、証拠を集めるにつれ、ドライバーは、あなたが最初に描いていた人物像とは大きく異なることが明らかになるかもしれません。他の法執行機関に委ねる必要も出てくるかもしれません。そうなれば、不注意なドライバーや悪意のあるドライバーとは全く異なる対応となるでしょう。
重要ポイント
この例からわかるとおり、コンテキストは、さまざまな状況を理解し、最適な対応を判断する上で重要です。情報が乏しければ、どのドライバーにも同じように対応してしまうでしょう。可視性がすべてを変えてくれます。可視化により、状況全体の把握、リスクの判断、影響の評価、最適な対応の判断が可能となります。
プルーフポイントでは、効率的かつ効果的に内部脅威を管理するにはコンテキストが必要であると信じています。悪意のあるユーザーに対し、不注意なユーザーと同じように対応すれば、意図しない悲惨な結果を招く可能性があります。 ですから、プルーフポイントのアプローチは可視性とコンテキストに基づく知見を提供します。この情報により、「誰が、何を、いつ、どこで」を理解し、適切に対応することができます。
詳細
内部脅威管理スタートキットでは、ガートナー、フォレスター、Ponemonが出している内部脅威リスクを理解するためのレポートや、内部脅威管理プログラムの構築方法についてのe-Bookを無料でダウンロードできます。
*1."The Great Resignation is Increasing the Risk of Data Loss: What You Can Do to Stop It", Proofpoint Blog
*2. "LastPass Hacked: Password Manager With 25 Million Users Confirms Breach", www.forbes.com