社員が退職する際、会社内のアカウントの引き継ぎはスム
内部脅威とは、組織内部から生じるサイバーセキュリティ上のリスクを指します。この種の脅威は、従業員、元従業員、ビジネスパートナー、契約業者、供給業者など、組織に関連する人々が様々な情報漏洩などの脅威を引き起こすことがあります。
ここでは、内部脅威に関する詳細な情報と、組織がこれらのリスクを低減するために取り組むべき対策について説明します。
内部脅威の種類
内部脅威における内部関係者は、一般的に 3 つのカテゴリーに分類されます。
悪意のある内部関係者
悪意のある内部関係者とは、従業員や請負業者など、組織の内部情報にアクセス可能で、その情報を使って機密情報を漏洩させる人物のことを指します。組織を妨害したり、情報を盗んだり、自分の利益のために資金を盗んだりすることを目的とします。例えば、従業員は金銭的な利益のために、組織の競争相手に対し秘密情報を販売することができます。
悪意のある内部関係者は、コラボレーターとローンウルフの 2 種類に分類されます。コラボレーターとは、悪意のある内部関係者のうち、競合他社などの第三者と協力して機密情報を漏洩したり、業務を妨害したりすることで組織に損害を与えるものを指します。
ローンウルフとは、単独で活動する悪意のある内部関係者のことです。ローンウルフが組織をターゲットとする理由としては、企業に対する恨みや組織の運営を妨害したいなど、個人的な理由が多く確認されます。
不注意な内部関係者
不注意な内部関係者とは、組織内のセキュリティ対策に無頓着な人物のことです。そのため、ヒューマンエラーや誤った判断によりデータ侵害につながる可能性があります。例としては、従業員がフィッシング詐欺に巻き込まれたり、組織全体のネットワークとシステムを危険にさらす悪意のあるリンクをクリックする可能性が挙げられます。
内部アクセスが可能な部外者
組織のシステムやデータへのアクセスを獲得した部外者もまた、内部脅威としてよく見られます。これはモール(mole:モグラ、スパイ)とも呼ばれます。アクセス方法の限られたシステムにアクセスするために、モールは従業員やベンダーを装います。そのため、モールを捕まえるのは容易ではありません。多くの場合、モールは従業員のアカウントに不正アクセスを行ったり、組織の物理的施設に侵入することで、内部システムへのアクセスを行います。
内部脅威は常に意図的に行われるのか?
いいえ、内部脅威は必ずしも意図的なものではありません。働く組織に損害を与えることを意図する内部関係者もいますが、単なる内部関係者の不注意である場合もあります。不注意により、組織に損害を与えるような間違いを犯すケースです。
例えば、従業員がなりすましウェブサイトであるとは知らずに、ログインしてしまったとします。これによって、正規アカウントにアクセスできる正当なクレデンシャルがサイバー犯罪者に提供されてしまいます。その後サイバー犯罪者は、その情報を使って従業員のアカウントを侵害する可能性があります。この場合、従業員が原因ではありますが、故意に引き起こしたとは言えません。
内部脅威が危険な理由
組織にとって内部脅威が危険である理由を、いくつかご紹介します。
情報漏洩につながる可能性
情報漏洩とは、機密情報が誤って暴露された状態を指し、サイバー犯罪者が収集して悪意のある目的に利用しやすくなります。情報漏洩は、数日あるいは数ヶ月間気付かない可能性があるため、組織にとって非常に危険です。情報漏洩は、顧客の個人識別情報(PII)を含む、組織の機密情報すべてをリスクに晒します。
データ侵害につながる可能性
データ侵害とは、サイバー犯罪者や内部関係者が無断で、あるいはデータを所有する個人や組織の許可なく機密情報を盗むことです。情報漏洩と同様に、組織は数日から数ヶ月間にわたり、データ侵害に気付かない可能性があります。これにより、侵害データを悪意のある目的に使用するのに十分な猶予をサイバー犯罪者に与えてしまいます。
経済的損失
Soft Activity のレポートによると、過去 2年間で内部インシデントは 47% 増加し、インシデントの平均コストは 1,538万ドルでした。内部脅威の影響によって、組織が直面する経済的損失はさまざまです。
評判の毀損
内部脅威の成功は、多くの組織に信頼性の喪失と、それによる顧客やパートナーの誘致の困難を引き起こします。これは、収益の損失につながり、組織の完全な閉鎖を引き起こす可能性があります。
法的な影響
内部脅威は、特に顧客データなど、最も貴重な財産を保護するための手順が整備されていない場合は、組織が法的な影響に対処しなければならなくなる可能性があります。法的な影響は高額な費用がかかるため、組織は資金の多くを失う可能性があります。
内部脅威を検出する方法
内部脅威を検出する主な方法としては、デジタル的兆候と行動的兆候の 2 種類が挙げられます。デジタル的兆候は、コンピュータやその他のデバイスで検出できるものです。行動的兆候は、人の実際の行動に基づいて検出できるものです。
デジタル的兆候
以下に、注意すべきデジタル的兆候をいくつかご紹介します。
● 異常なログインの試み
● 過剰なデータのダウンロード
● 未承認のソフトウェアとツールの使用
● ファイル名をコンテンツと一致しない名前に変更する
● 役職に関係しないコンテンツの閲覧
行動的兆候
注意すべき行動的兆候をいくつかご紹介します。
● 職務上必要のない機密情報へのアクセスを依頼する
● 作業慣行や遂行方法の変化
● 頻繁なセキュリティインシデント
● 不満そうな振舞い
● 会社のセキュリティポリシー遵守の拒否
行動的兆候は、注意すべき内部脅威の唯一の兆候ではありません。性急な結論付けの前に、きちんと調査する必要があります。
内部脅威のリスクを軽減する対策と方法
ここからは、組織が内部脅威のリスクを軽減する方法を紹介します。
特権アクセス管理(PAM)
特権アクセス管理とは、組織がどのように機密性の高いデータ、システム、アカウントへのアクセスを管理し、安全を保証するかを指します。これには、給与計算システムや IT 管理アカウントなどが含まれます。PAM ソリューションは、特権的なシステムやアカウントへのアクセスを一元的に管理し、IT チームがアクセス可能な人物を追跡し、制御することを容易にします。また、これは、サイバー犯罪者や悪意のある内部関係者がアクセスすることを困難にします。
また、PAM ソリューションは、以下に挙げられるような内部脅威のリスクを、組織が軽減する手助けにもなります。
最小特権の原則(PoLP)の実施
最小特権の原則は、ユーザーが職務に必要な情報とシステムのみにアクセスを許可するサイバーセキュリティの概念です。これはつまり、ユーザー当人が必要なアクセスのみが提供されるということです。特権アクセスを制限することで、組織は、悪意のある活動、不注意、従業員の間違いによって引き起こされる、重要な情報の漏洩や盗難といった内部脅威のリスクを最小限に抑えることができます。
特権的資格情報の管理と保護
PAM ソリューションの主な利点は、組織が特権的資格情報を安全なボルト(保管庫)に機密を守って保存できることです。また、多くの PAM ソリューションは、設定された頻度でパスワードローテーションを行い、アカウントに多要素認証(MFA)を強制するために使用することができるため、追加のセキュリティ層として機能します。特権的資格情報を管理し、保護することで、悪意のある目的に使用できる機密情報に内部関係者がアクセスするのを防ぎます。
特権アクセスの監視と監査
PAM ソリューションは、特権アカウントとシステムを常時監視する手段を組織に提供します。これは、組織が不審な活動を特定するために役立ちます。また、特権アカウントに誰がアクセスでき、何をしているのか、いつアクセスしているのかについて、完全な可視性を提供します。
内部脅威からの復旧
攻撃の調査に役立つツールが揃っていない場合、内部脅威からの復旧は困難です。内部脅威を受けた後、PAM ソリューションは、インシデントを調査し、攻撃の根本原因を突き止めるために使用できる詳細な監査ログを組織に提供します。
従業員の意識向上とトレーニング
従業員は、サイバーセキュリティのベストプラクティスに注意を払い、遵守する必要があります。また、フィッシングやビジネスメール詐欺(BEC)攻撃などの一般的な詐欺に気付き、被害に遭わないようにする方法についても訓練する必要があります。従業員に内部脅威について教育することは、注意すべきことをより意識させるのに役立ちます。同僚が内部関係者であることが疑われる場合は、すぐに IT チームに知らせるように伝えてください。
また、従業員に最新のサイバーセキュリティニュースを常に把握できるリソースを提供することもできます。
まとめ:内部脅威から会社を守る対策を
内部脅威は、多くの組織が直面するサイバー脅威であり続けています。適切なツールと知識がなければ、組織がこれらの脅威を見つけて軽減することは困難です。特権 ID、システム、およびデータは、組織の重要な資産を含むため、組織はまず第一にこれらのアセットを守る必要があります。
内部脅威の発生を完全に防ぐ方法はありませんが、特権アクセス管理ソリューションは重要な予防ツールになります。
その特権アクセス管理ソリューションの一例として、KeeperPAM™が挙げられます。
KeeperPAM™は、エンタープライズパスワード管理(EPM)、Keeper Secrets Manager(KSM)、そしてKeeper Connection Manager(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織はパスワード、機密情報、リモート接続のセキュリティを効果的に強化することが可能になります。
無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。