内部脅威(インサイダー脅威)とは?
内部脅威とは、企業とやりとりをしている関係者がデータのアクセス権を悪用して、組織の重要な情報やシステムに悪影響を及ぼすことです。この人物は必ずしも従業員である必要はなく、第三者であるベンダー、契約企業、提携企業なども脅威となる可能性があります。
最新の内部脅威の統計によると、69%もの組織が過去12ヶ月間にデータの脅威やその可能性、または被害の経験があると答えています。内部脅威の統計を詳しく見る。
インサイダーの定義
組織のネットワーク、システム、またはデータへのアクセスを許可されている(または許可されていた)、現在または過去の従業員、契約企業、または提携企業のことを指します。具体的には、次のような関係者を指します。
- 社員IDやアクセス可能な端末を与えられた人
- コンピュータやネットワークへのアクセスを提供された人
- 製品やサービスを開発している人
- 組織の内情に精通している人
- 保護された情報へのアクセス権を持つ人
内部脅威の定義
前述したインサイダーが意図的または無意識的にアクセス権を悪用して、組織の重要な情報やシステムの機密性、完全性、可用性に悪影響を及ぼすことを指します。
最大の資産は、同時に最大のリスクでもあります。内部脅威の根本原因は、「人」です。しかし、ほとんどのセキュリティツールは、コンピュータやネットワーク、システムのデータを分析する機能しか持ち合わせていません。
脅威は、どの方面からでも、また機密データにアクセスできる誰からでもやってきます。全セキュリティインシデントの25%がインサイダーによるものです[1]。
インサイダーとは?
社員
- IT担当者や管理権限を持つ特権的なユーザー
- アナリストやエンジニアなどの社員
- 退職済みの社員
- M&Aに関わる社員
社外関係者
- ベンダー
- 契約企業
- 提携企業
内部脅威の種類
IBMによると、内部脅威は大きく分けて「意図的なケース」と「不注意によるケース」の2種類があります。
内部脅威に関する統計
存在する組織の3分の1は、内部脅威のインシデントに直面したことがあります[2]。さらに残りの組織は、まだ気づいていないだけで被害にあっている可能性が高いです。
高度な内部脅威の検知と防止により、リスクを即座に低減することができます。
内部脅威のリスクが大きい業界
- 金融業
- 通信業
- 技術サービス業
- ヘルスケア
- 官公庁
内部脅威へのセキュリティ対策
内部脅威を阻止するためには、悪意の有無にかかわらず、すべてのユーザーの活動を継続的に監視し、インシデントが発生した場合には対策を講じる必要があります。
内部脅威が引き起こすリスクは、マルウェアのインストール、金融詐欺、データの破損、重要情報の窃盗など、数多くあります。これらすべての可能性に対処するために、企業は以下の6つの主要な機能を備えた内部脅威ソリューションを導入する必要があります。
内部脅威の検知
不審な行動を特定することで、リスクのあるユーザーの活動を発見します。
インシデントの調査
疑わしいユーザーの行動を数日ではなく数分単位で調査します。
インシデントの防止
リアルタイムでユーザーに通知し、ブロックすることでリスクを低減します。
ユーザーのプライバシー保護
ユーザーのデータを匿名化することで、従業員や契約者のプライバシーを保護し、規制に対応します。
コンプライアンスの遵守
内部脅威に関する主要なコンプライアンス要件を満たすことができます。
ツールの統合
内部脅威対策と検知をSIEMやその他のセキュリティツールと統合することで、より高い洞察力を得ることができます。
高度な内部脅威の検知と防止でリスクを低減する準備はできていますか?当社のProofpoint Insider Threat Management (ITM) をご紹介し、内部脅威に関するご質問にお答えします。
内部脅威についてのよくある質問
内部脅威の原因は何種類ある?
お客様のデータに内部からアクセスできるユーザー、つまり、ベンダー、請負業者、従業員など、すべてが内部脅威の可能性があります。具体的な内部脅威の兆候となる疑わしい事象は以下の通りです。
- 採用による脅威: 従業員や契約者は、外部の攻撃者に説得されて、機密データを第三者に漏洩してしまうことがあります。
- 自主的な流出: 不満のある従業員が、強制されることなく自発的にデータを第三者に送ったり売ったりすることがあります。
- 意図しない脅威: フィッシングやソーシャルエンジニアリングによって、個人が機密情報を第三者に開示してしまうことがあります。
内部脅威にはどのような利点がある?
内部の人間は少なくとも基本的なデータへのアクセス権を持っているため、多数のファイアウォールや侵入検知監視を迂回する必要がありません。したがって、外部の脅威に比べて有利になります。許可されたアクセスのレベルはユーザーの権限に依存するため、高い権限を持つユーザーは、セキュリティルールを迂回することなく、より機密性の高い情報にアクセスできます。
内部脅威のリスクとみなされないものとは?
企業にとって外部からの脅威は確かに懸念事項ですが、内部脅威には、認証を回避するユーザーではなく、アクセス権を持つユーザーに焦点を当てた独自の戦略が必要になります。何の関係もない外部の人間からの攻撃や、データへの基本的なアクセスは、内部脅威とはみなされません。なお、内部関係者は、外部の脅威がデータにアクセスするのを意図的または無意識のうちに手助けすることがあります。
[1] Verizon. “Data Breach Investigations Report”
[2] SANS. “Insider Threats and the Need for Fast and Directed Response”
[3] CSO Magazine. “U.S. State of Cybercrime Report”
内部脅威管理の概要
多くの組織が分散型の働き方へと移行する中で、従来型のオフィス ネットワークの境界は既に過去のものとなっています。働き方の変化は、サイバーセキュリティにおいて人が境界となる新たな考え方を生み出しました。
内部脅威管理プログラム設定ガイド
内部脅威管理プログラム (ITMP) を設定するために必要なこと、なにをもって成功とするのか、そして初期運用体制から全面的かつ強固な 内部脅威管理プログラム へと拡大する際のベストプラクティスについて取り上げます。
ガートナーマーケットガイド:内部脅威リスク管理ソリューション 2020
内部脅威を管理することは、人を中心としてセキュリティを構築するPeople-Centricアプローチの重要な要素です。2020年にリモートワークが急増したことに伴い、インサイダーリスクは劇的に増加しています。