プルーフポイントの 2022 Voice of the CISO レポートによると、情報セキュリティ最高責任者 (CISO) の 50% が、多くの従業員が自主的に退職する継続的な経済動向、「The Great Resignation (大量退職時代)」により、データの保護が大きな課題になっていると述べています。
組織はしばしば、機密のビジネス情報を、または最悪の場合は知的財産を、退職者が持ち出しても、すぐには気づきません。 そして、セキュリティチームは、長い時間をかけて、この内部関係者によるデータ損失について「いつ、どこで、誰が、何を」持ち出したのかを、手作業で突き止めようとします。
しかし、人事、法務、そして情報セキュリティのチームにとっては、退職者について情報を共有することがしばしば課題となっていました。内部脅威管理ソリューションのない状況では、効果的なモニタリングポリシーを実施することも困難です。プルーフポイントはこれを受けて、管理外デバイスによる内部脅威にも対応できるよう、可視化能力を強化しました。これにより、組織は、退職者に関連したデータ保護問題を効果的に把握することができます。
Proofpoint Information Protection は、退職予定者が管理外デバイスとクラウドアプリを使用して実行した異常なファイル操作を検知し、その退職予定者の 30 日間のファイル操作履歴を提供できるようになりました。いくつかの企業がこの機能をすでに使用しており、以前は確認できなかった退職者によるデータ持ち出しの検知に成功しています。この機能は、プルーフポイントの既存の (管理下エンドポイントに特化された) 内部脅威対策ソリューションを補完するものです。
高リスクの内部関係者: 退職前のモニタリング
カミラは有能な役員で、まもなく退職します。彼女は今後のキャリアに役立てようと、会社の機密情報を新たな勤務先へ持ち出そうとします。多くの退職者がそうであるように、カミラは、自分がどれだけ今の会社に貢献してきたかを考えると、顧客リスト、価格表、製品構造図などを持ち出してもかまわない、と考えています。会社にとっては、これは社の方針に大いに違反することです。
以下は、カミラの行動と、それに対するセキュリティ措置の履歴です。
|
時期 |
退職予定者カミラの行動 |
|
セキュリティ対策 (プルーフポイント使用) |
|
1 か月前 |
管理外 USB デバイスへ、機密文書である価格表ファイルのコピーを試みる |
|
Proofpointは USB へのファイル転送をリアルタイムで阻止 |
|
25 日前 |
オンラインで職を探し、応募 |
|
Proofpointは、これに関するテレメトリーを収集 |
|
1 週間前 |
退職届を提出 (2 週間前通知) |
|
人事部は、カミラのアカウントを、退職通知期間専用の Active Directory グループへと移す |
|
数日前 |
自分が所有するノート PC を使用して、クラウドアプリから異常に多い数のファイルをダウンロード |
|
Proofpointは、会社およびカミラの過去の行動と比較して、カミラによる個人デバイスへのこうしたファイル操作を、異常であると判定 |
|
数日前 |
|
|
Proofpointは、セキュリティチームに、クラウド、メール、エンドポイント、Web におけるカミラの過去のファイル操作の履歴を提供 |
|
現在 |
|
|
人事部と法務部は、カミラが退職する前に停職処分にする |
図 1: 例として取り上げた退職者の行動と、Proofpoint製品のサポートによる組織の対処法の概要
この内部脅威の各段階を詳しく見ていきましょう。
USB デバイスによるデータの持ち出しを防止
この段階で、カミラは退職するつもりであり、退職届を提出する前から準備を進めたいと考えます。カミラは、無許可の USB デバイスへ機密の価格表ファイルをコピーしようとしましたが、Proofpoint Information Protection がリアルタイムで阻止しました。
従来のエンドポイント DLP ソリューションであれば、チームはこのような成果を得るにはより複雑な作業が求められます。各チャネルの DLP 検知機能の個別設定、各データタイプのポリシーの作成、特定のユーザーの例外の作成などです。これは、従来の DLP ソリューションがデータ中心のモデルであるためです。
Proofpoint Information Protection なら、People-Centric な、つまり「人」を中心に DLP ルールを設定できます。これにより、チームは簡単にリスクのあるユーザーを把握し、監視することができます。
きめ細かいユーザー行動の可視化
カミラは管理下エンドポイントを用いてオンラインで職を探し、応募しました。Proofpoint Information Protection は、カミラの Web 行動をキャプチャしました。これは、カミラが退職届を提出する前の出来事です。
退職の兆候を示す材料となるのは、ファイル操作だけではありません。
これらの行動自体は、多くの高優先アラートを抱えるセキュリティチームにとってそれほど問題ではないかもしれません。同様に、カミラが新しい職を探していることは、他のセキュリティ違反のコンテキストがあった場合のみ重要な情報となります。
個人所有デバイス: クラウドから異常なファイル操作を検知
カミラは、Microsoft 365 アプリから異常なほど大量の機密ファイルを個人のノート PC にダウンロードしようとします。数日前、カミラは退職通知を提出しており、これを受けて人事部は Microsoft Azure Active Directory グループを変更しました。Proofpoint Information Protection は、Microsoft 365 サービスからのデータを活用する専用機械学習モデルを通じて、カミラを退職者として認識し、ファイルダウンロード操作を異常なものとして検知します。
プルーフポイントは、管理下デバイスおよび管理外デバイスにおいて、Microsoft 365 アプリでのユーザーによる異常なファイル操作を継続的に監視しています。異常は、これまでのプロファイルと比較した、ユーザーの操作プロファイル、組織のプロファイル、関連するファイルの性質 (ファイルの機密度、ファイルの所有権、ファイルの数など) に基づいた機械学習モデルを使用して測定されます。
プルーフポイントは、Active Directory グループも監視して組織の退職者を識別しています。最近退職した人、カミラのようにこれから退職する人が対象となります。
カミラによる異常なファイル操作が検知されると、以下のように豊富なフォレンジックと共にセキュリティアラートが生成されます。
図 2: 退職者予定者カミラによる異常なファイル操作
アクティビティグラフは、カミラが、自身のプロファイルと、組織のプロファイル (バーを横切る、下方のグレー線) に対し、通常の操作範囲よりも統計的に大量のファイル (紫色のバー) をダウンロードしたことを示しています。また、プルーフポイントは、カミラが退職届の提出前に悪意のある操作を開始したとしても異常を検知できます。
カミラがファイルをダウンロードした先が管理下デバイスかそれとも管理外デバイスであるかを確認できます。管理外デバイスとは、組織が所有または管理していないデスクトップ PC、ノート PC、携帯電話、タブレットを指します。機密データがマスクされた以下のスクリーンショットを見るとわかるように、クライアントデバイスのプロパティを使用して、デバイスが管理下であるか管理外であるかを確認できます。カミラが競合他社のネットワークまたは IP アドレス空間を使用して Microsoft 365 アプリに接続し、この情報をダウンロードした場合はより重大な問題となるでしょう。
図 3: 管理下・管理外の区別を含む、デバイスの詳細確認
カミラの場合、以下の図 4 を見るとわかるように、ファイルは機密性の高いものでした。カミラによってダウンロードされたファイルの 11% が、社会保障番号やクレジットカード情報を含む機密性の高いものでした。ダウンロードされたファイルの 22% で、カミラは所有者または作成者ではありませんでした。多くの機密情報を含む異常なファイル操作のアラートは、一般的に高優先に設定されます。
図 4: カミラがダウンロードしたファイルタイプの内訳
このような検知機能がなければ、セキュリティチームは、クラウドアプリ、DLP ツール、人事情報からの可視性をつなぎ合わせる必要があります。しばしば、情報は不完全で、手作業のプロセスではうまく機能しません。
退職者による異常なファイル操作の検知が、セキュリティチームがユーザーによるデータ持ち出しに気づくきっかけとなる場合もあります。従来の DLP ツールを使用するチームは、ユーザーのコンテキストのないデータ中心のアラートの海で溺れそうになっています。プルーフポイントの異常操作アラートは、退職者といった高リスクユーザーに関連付けられているため、セキュリティチームにとって通常の DLP アラートよりもリスクのあるプロファイルを確認しやすくなっています。
内部調査の迅速化
この段階で、セキュリティチームは、カミラの行動調査に大きく乗り出しており、毎時間が貴重です。Proofpoint Information Protection なら、クラウド、メール、エンドポイント、そして Web におけるカミラの行動全体を、単一の履歴画面で確認できる統合ビューを使用できます。カミラによる USB へのファイル転送の試み、Web 上での求職活動、Microsoft 365 での異常なファイル操作、その他の日常行動が、単一の履歴画面で確認できます。
プルーフポイントの内部調査方法のガイドをご覧になり、Proofpoint Information Protectionn を使用した内部脅威調査とアドホックな調査を比較してみてください。プルーフポイントなら、ユーザーが使用するデバイスにおいて、手作業による操作データ収集に数時間も数日間もかかっていた時間を解消できます。Proofpoint Information Protection は、IT チームの介入を必要としない、したがって速やかな調査を可能にする、ユーザー行動とファイル操作の継続的な可視性を提供します。
Proofpoint Information Protection は、退職者による組織の機密データ持ち出しを防止するための、包括的な保護を提供します。セキュリティチームは、ポリシーベースおよび機械学習ベースの検知を設定して、これらがなければ見逃してしまうような操作行動を特定できます。明らかにポリシーに違反するデータの動きを防止し、退職者のクラウドアカウントを停止することができます。ユーザー調査の必要時には、単一のプラットフォームにより、人事部と法務部と共に適切な対応を行うために迅速に判断できるといったメリットがあります。
悪意のある退職者から組織とアセットを保護できるようプルーフポイントがどのようにサポートしているか詳しくご覧になりませんか? Proofpoint Information Protection ソリューションのデモをご覧ください。