インサイダー脅威のリスクと従業員監視による検知方法

外部から侵入するハッカーのような外部からの脅威とは対照的に、内部からの脅威は組織内部の個人によってもたらされます。従業員、管理職、パートナー、請負業者など、機密データ、システム、施設に合法的にアクセスできる者で、このアクセスをビジネスに害を及ぼす方法で使用する者が該当します。

インサイダーの脅威は様々な形で現れ、それぞれが少しずつ異なる検知方法を必要とする。悪意のあるインサイダー、過失のあるインサイダー、危険なインサイダーに大別することができる。

インサイダーの脅威といえば、まずこのタイプが思い浮かぶ。悪意のあるインサイダーは、昇進を見送られたり懲戒処分を受けたりした後の復讐、イデオロギー的な理由、あるいは遊び心から意図的に損害を与える。しかし、悪意のあるインサイダー事件の絶対的な大部分（89％）は、個人的な金銭的利益によって引き起こされています。インサイダーの可能性

• 機密性の高い顧客データ、企業秘密、財務情報を盗み、競合他社に販売したり、個人的な利益を得る。

• 重要なファイルを削除したり、システムを妨害したり、マルウェアをインストールしたりして、会社を妨害する。

• 財務記録を操作したり、不正な口座を作ったり、個人的な利益のために横領したりする。

• 競合他社に販売したり、自分のビジネスを始めるために、独自の設計、方式、その他の知的財産を盗む。

悪意のあるインサイダーは、覆面スーパーエージェントではありません。彼らは、過小評価されていると感じ、会社を去る前に重要な顧客データベースを削除する、不満のあるシステム管理者である可能性がある。あるいは、営業担当者が計画的にデータをエクスポートして競合他社に売却し、積み上がった請求書を補填することもある。悪意のあるインサイダーは、意図的に組織を害する一般社員である。しかし、内部脅威インシデントの25％は、このような従業員によるものである。

すべての内部関係者が悪意によって動いているわけではない。過失のある従業員は、意図的に組織に危害を加えようとはしませんが、彼らの意図しないミスや不注意な行動は、悪意のある行動と同じくらい大きな損害をもたらす可能性があります。データ漏洩インシデントの88%は、従業員のミスによって引き起こされた、または著しく悪化したという驚くべき結果が出ています。過失のある内部関係者は、脅威を認識するための認識や訓練が不足しているか、単に無謀であることが多い。彼らの次のような行動は、深刻なセキュリティ侵害につながる可能性があります：

• フィッシングメールのリンクをクリックし、知らずに会社のデバイスにマルウェアをダウンロードしてしまう；

• 推測されやすいパスワードを使ったり、複数のアカウントでパスワードを再利用したりすること；

• 機密データを安全でない場所に保管すること；

• 暗号化されていない経路で機密情報を共有すること；

• 確立されたセキュリティ・プロトコルを回避したり、セキュリティ・ソフトウェアを無効にしたり、利便性や理解不足のためにセキュリティ・ポリシーを無視したりする；

• 機密情報を誤って間違った受信者に送信する；

• 個人情報の意図しない公開や公表、その他の人為的ミス。

内部関係者の過失の例としては、買掛金担当の従業員が、一見正当なEメールを受信した場合がある。そのメールは、あるベンダーの銀行口座情報を更新するよう求めている。その従業員は、送信者の電子メールを十分に確認せず、リンクをクリックし、偽のログイン・ページで認証情報を入力し、知らず知らずのうちにハッカーに会社の財務システムへのアクセスを許してしまう。

過失の結果、従業員のアカウントが外部の行為者によって侵害される可能性がある。クレデンシャル窃盗者は、フィッシング、マルウェア、またはその他の方法で従業員の正規のログイン クレデンシャルを取得します。その後、攻撃者はその従業員として行動し、機密データを盗んだり、その他の悪意のある活動を行ったりします。クレデンシャル窃盗は、内部脅威インシデントの20%の原因となっています。

では、インサイダーの脅威を検知し、それを防ぐにはどうすればいいのだろうか？前述したように、従来のセキュリティ手法は外部からの攻撃に対しては効率的だが、内部の危険に対しては盲点になりがちだ。そこで登場するのが、従業員のモニタリングである。

従業員モニタリングが戦略的かつ倫理的に実施されれば、組織は従業員の業務プロセス、行動、コミュニケーションを把握することができる。こうすることで、セキュリティ専門家は、通常であれば気づかれないような異常な行動、ポリシー違反、悪意の兆候を特定することができる。

内部脅威を検知するための主要な従業員モニタリング機能と、それらがどのように悪意のある行為者を発見するのかを探ってみよう。

データ損失防止（DLP）は、機密情報を不正アクセスや不正送信から保護するための高度な機能群です。潜在的なデータ漏洩、流出、誤用、偶発的な暴露を検出し、管理を支援します。

DLPシステムは、組織内の機密情報を特定し、デジタルセンチネルの役割を果たします。機密情報の動きを追跡し、転送、外部デバイスやクラウドストレージへのコピー、印刷などの不正な試みにフラグを立てます。DLPシステムには、セキュリティ専門家や管理者にインシデントを通知するアラート機能もあります。

機密データを綿密に追跡することで、DLPソリューションは悪意のある内部脅威と過失による内部脅威の両方を検知することができます。

ユーザーとエンティティの行動分析（UEBA）ツールは、AIと機械学習を含む高度な分析技術を使用して、組織のネットワーク内の異常な行動と潜在的なセキュリティ脅威を検出します。まず、UEBAはユーザー（従業員、顧客、請負業者）とエンティティ（アプリケーション、デバイス、サーバー）のアクティビティを分析し、正常なアクティビティのベースラインパターンを確立します。その後、システムはユーザーとエンティティの行動を継続的に監視し、確立されたベースラインと比較します。標準からの逸脱を検出すると、潜在的なセキュリティ脅威としてフラグを立てる。各異常にはリスク・スコアが割り当てられ、不審な行動が多くなるほどリスク・スコアは高くなる。リスク・スコアが事前に定義されたしきい値を超えると、システムはセキュリティ専門家または管理者に警告を発し、調査と潜在的な対策を講じる。

UEBAは、インサイダーの脅威、侵害されたアカウント、および従来のセキュリティ・ツールを回避する可能性のあるその他の攻撃手法に対して非常に効果的です。その有効性は、事前に定義された攻撃パターンに一致しない脅威を検出する能力にあります。同時に、UEBAは通常の行動パターンを理解しているため、誤検知の割合も低くなっています。

勤務中の従業員の行動を追跡することで、どのようなウェブサイトやアプリケーションを使用しているかが明らかになります。こうすることで、組織は、未承認のウェブサイトやリスクの高いウェブサイトへのアクセス、または業務に関係のないサイトへの過度のアクセス（場合によっては離職や悪意のある計画の兆候かもしれない）を検知することができる。また、アプリケーションを追跡することで、セキュリティリスクをもたらす可能性のある未承認ソフトウェアのインストールを発見することもできる。

データ侵害の場合、アクティビティ監視は、インシデントの責任者を見つけ、必要な証拠を提供するのに役立ちます。最近、当社のお客様の1社が、CleverControlによって、データを競合他社に販売している内部関係者を発見した事例を紹介しました。詳しくはこちらをご覧ください。 内部脅威 詳しくはブログをご覧ください。

コミュニケーション・モニタリングは、従業員とのコミュニケーションの内容やパターンに関する洞察を提供します。このシステムは、電子メール、ビデオ会議、ファイル共有、コラボレーションツール、インスタントメッセージングプラットフォームなど、さまざまなコミュニケーションチャネルを継続的に監視します。高度なアルゴリズムとAIがコミュニケーションのパターンとコンテンツを分析し、収集したデータをスキャンして警告サインを探します。これらの兆候は、不審な言葉であったり、データ漏洩、妨害行為、共謀に関連するキーワードであったりする。システムが不審な活動を検出すると、自動応答がトリガーされるか、セキュリティの専門家に通知され、直ちに対処されます。

コミュニケーション・モニタリングは、企業の内部脅威に対する抵抗力を大幅に高めるが、責任を持って実施されなければならない。

インサイダーの脅威は、あらゆる規模のあらゆる組織にとって、依然として重大な懸念事項である。インサイダーの脅威は、悪意のあるものから単純な過失や不注意まで、さまざまな形で現れます。インサイダーの脅威が非常に危険なのは、セキュリティ境界の内側から信頼できる従業員によって行われるため、検知や防止が非常に難しいからです。従業員モニタリングは、インサイダー・リスクを検知・防止するための優れたソリューションです。そのDLP、UEBA、コミュニケーション、アクティビティ監視機能は、セキュリティ侵害をタイムリーに検知し、防止したいと考える組織にとって必要なツールキットです。