内部脅威とは？種類、予防策、リスク

内部脅威とは、組織内部の個人によってもたらされるリスクを指します。本ガイドでは、内部脅威の種類、その潜在的な影響、および予防策について解説します。

内部リスクを軽減する上で、従業員の意識向上と監視の重要性について学びましょう。インサイダー脅威を理解することは、組織が機密情報を保護し、セキュリティを維持するために極めて重要です。

インサイダー脅威とは？

内部脅威とは、組織内部の人物によって引き起こされるセキュリティ侵害を指します。これらの個人は、顧客データ、財務情報、知的財産などの機密情報へのアクセス権限を有しています。インサイダー脅威は、組織に多大な金銭的損失、評判の毀損、法的責任をもたらす可能性があります。

インサイダー脅威の種類

インサイダー脅威は様々な形態をとり、必ずしも悪意に基づくものではありません。従業員がフィッシングメールをクリックしたり、脆弱なパスワードを使用したりすることで、意図せずセキュリティ侵害を引き起こすケースもあります。また、金銭的利益、復讐、機密情報の取得を目的として、意図的に損害を与えるケースもあります。

内部脅威は主に以下の3つのカテゴリーに分類されます：

• 不注意または意図しない脅威– この種の内部脅威は、従業員や契約社員が意図せずセキュリティ侵害を引き起こす場合に発生します。これは、認識不足や訓練不足、あるいは単なるミスによって起こり得ます。
• 悪意のある内部脅威 –悪意のある内部脅威は、従業員や契約社員が組織に意図的に損害を与える場合に発生します。これは金銭的利益、復讐、機密情報の取得などを目的として行われます。
• 侵害された内部脅威 –侵害された内部者脅威とは、攻撃者が従業員や契約業者のアカウントやシステムへのアクセス権を取得し、それを利用して攻撃を実行する場合を指します。これは、フィッシング攻撃、ソーシャルエンジニアリング、その他の手段によって発生します。

内部脅威の現実世界の事例

近年、注目を集めた内部者脅威の事例がいくつか報じられています。例えば、エクイファックス社では、内部関係者が同社のウェブアプリケーションの脆弱性を悪用し、1億4300万人の顧客の機密データを盗み出したことが原因でした。別の事例として、2013年に国家安全保障局（NSA）の機密情報を漏洩したエドワード・スノーデンのケースが挙げられる。

内部脅威の防止

内部脅威を防止するには、人、プロセス、テクノロジーを統合した多層的なアプローチが必要です。組織が内部脅威から身を守るために実践できる具体的な手順を以下に示します：

• 従業員教育の実施 –従業員、契約社員、およびサードパーティベンダーに対して、セキュリティ意識に関する定期的なトレーニングを実施する。
• アクセス制御の実施 –最小権限の原則に基づいて、機密データへのアクセスを制限する。二要素認証、役割ベースのアクセス制御、その他のアクセス制御メカニズムを活用する。
• ユーザーアクティビティの監視と監査 –ログ記録と監視ソリューションを導入し、異常な行動を検知し、潜在的な内部脅威を特定する。
• セキュリティポリシーの実施 –明確なセキュリティポリシーを策定し、厳格に実施する。

内部脅威が重大な理由とは？

内部脅威は、内部関係者が既に機密データやシステムへのアクセス権を持っているため、組織にとって特に有害となる可能性があります。つまり、内部関係者はセキュリティ対策を回避する必要なく損害を与えることが可能であり、検知や防止がより困難な脅威となります。

さらに、内部関係者は組織の評判、財務的安定性、法的立場に重大な損害を与える可能性があります。例えば、知的財産や機密性の高い顧客情報を盗む内部関係者は、組織の評判や信頼性を損なう可能性があります。ネットワーク運用を妨害する内部関係者は、大きな金銭的損失をもたらし、組織の顧客サービス提供能力に影響を与える可能性があります。

さらに、内部脅威はより一般的かつ高度化しており、組織が対応し続けることは困難になっています。Guruculの2023年インサイダー脅威レポートによると、2022年にはインサイダー攻撃が大幅に増加し、74％の組織が攻撃頻度の上昇を報告（前年比6％増）、60％が少なくとも1回の攻撃を経験し、25％が6回以上の攻撃を受けています。

内部脅威リスクへの対処法

1. 包括的な内部脅威対策プログラムの構築 — 内部脅威に対処するため、組織はポリシー、手順、技術を含む包括的なプログラムを構築すべきです。このプログラムは、従業員の監視、アクセス制御、インシデント対応など、内部リスクのあらゆる側面を網羅する必要があります。
2. 定期的なセキュリティ意識向上トレーニングの実施 – 定期的なセキュリティ意識向上トレーニングは、従業員が内部脅威のリスクとその回避方法を理解するのに役立ちます。従業員は、パスワード管理、ソーシャルエンジニアリング攻撃、不審な活動の報告方法に関するベストプラクティスについて研修を受ける必要があります。
3. 従業員の活動を監視する – 従業員の活動を監視することは、内部脅威を検知し、防止するために非常に重要です。これには、従業員の電子メール、ファイル転送、ネットワーク活動の監視が含まれます。ただし、組織は監視の必要性と従業員のプライバシー権および法的要件とのバランスを取る必要があります。
4. アクセス制御の実施 – アクセス制御は、機密データやシステムが内部関係者によって利用されるリスクを制限するのに役立ちます。組織は、役割ベースのアクセス制御を導入し、従業員が職務を遂行するために必要なデータとシステムのみにアクセスできるようにする必要があります。アクセス制御は、効果を維持するために定期的に見直し、更新する必要があります。
5. XDR および マルウェア対策ソフトウェアの使用 –XDR（拡張検知・対応）は、エンドポイント、ネットワーク、クラウド環境など複数のベクトルにわたるリアルタイムの脅威検知と対応を提供する次世代セキュリティ技術です。アンチマルウェアソフトウェアは、従業員のデバイスへの悪意のあるソフトウェアのインストールを検知・防止するのに役立ちます。XDRを活用することで、企業は異常なアクセスやユーザー行動を特定でき、そのような試みを検知することが可能になります。
6. 身元調査の実施 — 組織は、従業員、契約社員、第三者パートナーに機密データやシステムへのアクセス権限を付与する前に、徹底的な身元調査を実施すべきです。身元調査は、窃盗や詐欺の前歴がある個人など、潜在的な内部脅威の特定に役立ちます。
7. インシデント対応手順の実施– 組織は、内部脅威に迅速かつ効果的に対応するためのインシデント対応手順を整備すべきである。これらの手順には、インシデントの報告と調査、インシデントの根本原因の特定、および将来同様のインシデントが発生するのを防ぐための是正措置の実施が含まれるべきです。

結論

内部脅威は、あらゆる規模・業界の組織にとって重大かつ増大するリスクです。組織の機密データやシステムにアクセスする内部関係者は、意図的・非意図的を問わず重大な損害を引き起こす可能性があります。内部脅威の潜在的な影響を考慮すると、組織はこのリスクを軽減するための対策を講じる必要があります。

内部脅威を検知・防止するためのポリシー、手順、技術を含む包括的な内部脅威対策プログラムが不可欠です。組織はまた、定期的なセキュリティ意識向上トレーニングの実施、従業員活動の監視、アクセス制御の導入、暗号化およびDLP技術の利用、身元調査の実施、インシデント対応手順の導入を行うべきです。

これらの対策を講じることで、組織は内部脅威のリスクを低減し、機密データ、システム、評判を守ることができます。内部脅威に対する最善の防御策は、経営陣から現場従業員まで組織の全レベルを巻き込んだ、積極的かつ包括的なアプローチであることを忘れないでください。