目次
内部脅威は、兆候を捉えることが難しいため、特に対応が難しいサイバー セキュリティ上の課題です。内部関係者は正規にアクセス権限を付与された認証済みのユーザーで、本質的に信頼されています。内部脅威の兆候を把握することは、意図的または偶発的に組織へ損害を与える個人を特定し、阻止するうえで極めて重要です。
内部脅威とは
内部脅威とは、組織内部から発生するセキュリティ侵害を指します。内部脅威の兆候が見過ごされると、認証済み特権アクセス権限および組織のプロセスや手順に関する知識を有する内部関係者による悪意のある行為、過失、または意図しない行為によって被害が生じます。
内部脅威の兆候を軽視すると、データ、設備、施設、財務、ネットワーク、オペレーション、従業員、およびシステムといった組織の重要なリソースのCIAトライアド(機密性、完全性、可用性)が損なわれる可能性があります。
内部関係者の定義を理解し、内部脅威の兆候を把握する
「内部関係者とは、組織のリソース(従業員、施設、情報、設備、ネットワーク、システムなど)にアクセスする権限を有する、もしくはアクセスを認可されている、またはそれらに関する知識を有するあらゆる個人を指します。
内部関係者の例には、以下のようなものがあります。
- 組織が信頼している人物(従業員、組織のメンバー、ならびに組織から機密情報およびアクセス権限を付与されている人物など)。
- 入館証またはアクセス デバイスを付与され、通常または継続的にアクセスできる人物(従業員、組織のメンバー、契約社員、ベンダー、施設管理担当者、修理担当者など)。
- 組織からコンピュータおよび/またはネットワークへのアクセスを提供されている人物。
- 組織の製品やサービスを開発する人物。このグループには、組織に価値をもたらす製品に関する機密情報を把握している者が含まれます。
- 組織の基本事項(価格設定、コスト、組織の強みや弱みなど)に精通している人物。
- 組織の事業戦略や目標に精通し、将来計画、または組織の存続や従業員の利益を左右する重要事項を託されている人物。
- 政府機能においては、保護された情報にアクセスできる人物が内部関係者に該当する場合があります。その情報が侵害されると、国家の安全保障や公共の安全に損害を及ぼす可能性があります。」
出典:CISA(サイバー セキュリティ・社会基盤安全保障庁、米国国土安全保障省の一部門)
内部脅威の兆候は、組織に生じ得るさまざまな潜在的リスクに対する警告となります。これには、以下のようなものがあります。
- 汚職
- 組織のリソースまたは能力の低下
- スパイ活動(例:企業、犯罪組織、または国家によるもの)
- 妨害行為
- テロ行為(例:国家、宗教、または政治に起因するもの)
- 不正アクセスおよび情報の不正開示
- 職場における暴力
内部脅威にはどのような種類があるか
内部脅威の兆候を把握することで、さまざまな種類の内部脅威を特定できます。これらは、意図的なものと過失によるものの二つに大別されます。以下、関係者を列挙します。
| 関係者 | 特徴 |
|---|---|
| 悪意のある内部関係者 | アクセス権限や知識を悪用し、情報窃取や妨害行為を意図的に行う。 |
| 過失による内部関係者 | 悪意はないが、不注意やミスによって組織に損害を与える。 |
| 侵害された内部関係者 | 正規ユーザーだが、認証情報の盗難や強要により外部攻撃者に悪用される。 |
| サード パーティの協力者 | 契約社員やベンダーなどで、意図的または非意図的に脅威となる。 |
それぞれ解説します。
悪意のある内部関係者
悪意のある内部関係者(意図的な内部脅威)とは、組織のアクセス権限や知識を悪用して、データの盗難や漏洩、オペレーションの妨害、不正行為、報復、妨害活動、スパイ行為、金銭やその他の資産の窃取などを意図的に実行または助長する部内者によって生じるものです。こうした不正行為の動機としては、金銭的利益や報復を求める欲求などが挙げられます。
地位やアクセス権限を悪用して悪意のある行為を行う意図的な内部関係者には、次のような人物が含まれます。
- 共謀型の内部関係者(1名以上の内部関係者が、組織外の個人またはグループと協力する場合)
- サード パーティ(内部アクセスを有する信頼されたサード パーティ(契約社員やベンダー)
- 単独型の内部関係者(組織内で単独で行動する人物)
過失による内部関係者
非意図的な内部脅威(過失による内部脅威)とは、悪意のある行為を行う意図はないものの、不注意により組織に損害を与えてしまう内部関係者によって生じるものです。
非意図的な内部の攻撃者には悪意はありませんが、悪意のある内部関係者よりも大きなリスクをもたらす可能性があります。
調査によると、非意図的な内部関係者は、意図的な内部関係者よりもはるかに多くの侵害を引き起こしています。悪意のある内部関係者が強調されがちですが、内部脅威の兆候を検出する際には、さまざまな非意図的な内部関係者とその過失にも注意を向ける必要があります。これには、以下のようなものが含まれます。
- 以下のような不注意による過失を犯す内部関係者:
- ウイルスを含むフィッシングメールの添付ファイルを開くように誘導されること
- 機密文書を不適切に廃棄すること
- メール アドレスを誤入力し、機密情報を誤って未認証の受信者に送信してしまうこと
- 不注意な内部関係者は、セキュリティ手順に十分な注意を払わず、意図せず以下のような行為を行います。
- セキュアな入口を通過する際に、他者による「ピギーバック(不正な同伴入場)」を許してしまうこと
- 機密情報を含むポータブル ストレージ デバイスを紛失または置き忘れてしまうこと
- 新しいアップデートやセキュリティ パッチのインストール、またはパスワードの変更を求める通知を無視すること
- 個人のデバイスに機密情報を保存すること
- サード パーティの内部関係者で、不注意や善意による過失により、サイバー攻撃者に組織のシステムやリソースへのアクセスを許してしまう人物
侵害された内部関係者
正規ユーザーであっても、そのクレデンシャルが盗まれ、外部の攻撃者に悪用された場合、侵害を受けた内部関係者となる可能性があります。クレデンシャルは通常、データ侵害、マルウェアf攻撃、またはソーシャル エンジニアリング キャンペーン(フィッシングなど)の一環として盗まれます。また、脅迫やその他の手口によりアクセス権限の共有を強要された場合にも、侵害を受けた内部関係者が生じることがあります。
サード パーティの協力者
サード パーティの協力者には、契約社員、ベンダー、パートナー、パートタイム従業員、さらには組織のシステム、データ、またはアプリケーションへのアクセス権限を認可された顧客が含まれます。従業員と同様に、サード パーティの協力者も意図的または非意図的に行為を行うことがあります。
悪意に基づいて行動する場合、サード パーティの協力者は単独で、またはグループの一員として悪意のある活動を行うことがあります。他者と共に行動する場合、サード パーティの協力者は従業員や、組織外にいる他の攻撃者を巻き込むこともあります。
内部脅威の兆候を把握するポイント
内部脅威の兆候とは、人物やその他の主体を潜在的なセキュリティ リスクとして特定する行動パターンや活動を指します。問題を示す可能性のあるさまざまな内部脅威の兆候は、技術的なものと行動的なものの2つのカテゴリに分類されます。
技術的な内部脅威の兆候
技術的な内部脅威の兆候とは、内部関係者の種類(例:悪意のある場合や偶発的な場合)にかかわらず、不適切な活動が発生していることを明確に示す警告となる場合があります。技術的な内部脅威の兆候の例には、以下のようなものがあります。
過度なデータ アクセスやダウンロード
さらに、ファイルのダウンロード、印刷、またはデータ転送の急激な増加は、悪意のある活動を示している可能性があります。大容量のデータがダウンロードされたりコピーされたりすることで、ネットワーク トラフィックが急増する場合に確認できます。また、USBドライブなどの未承認のソフトウェアやハードウェアの使用も、内部脅威の兆候となり得ます。
機密情報への不正アクセスまたは使用
まれに、内部関係者が誤って機密情報に無認可でアクセスしようとしたり、使用しようとしたりする場合があります。しかし、ほとんどの場合、これは内部脅威を示す明確な兆候です。こうした行為には、企業秘密、財務記録、個人データ、またはプロプライエタリの研究情報を含む機密情報を検索、閲覧、コピー、共有することが含まれます。
ファイル名や拡張子の変更
もう一つの重要な兆候として、ユーザーが機密情報を含むファイルの名称を変更する場合が挙げられます。たとえば、文書のファイル拡張子やファイル名を変更すること(例:quarterly-sales-report.xlsをwebsite-edits.docに変更する、またはsales-report.xlsをto-do.xlsに変更すること)などです。
特権付与申請の増加
職務に関連しないシステム リソースへのアクセスを目的とした特権やアクセス権許諾の引き上げを繰り返し申請することは、内部脅威の重大な警告サインです。職務上必要とされる水準を超えるアクセス権限を求める場合、本来アクセスすべきではない情報、アプリケーション、またはシステムを探している、あるいはアクセスしようとしている可能性があります。また、ランサムウェア攻撃やその他のマルウェア攻撃など、悪意のあるキャンペーンを実行する準備の兆候である場合もあります。さらに、特権の引き上げは、システムへのアクセスを確保し、後にアクセスするためのバックドアのエントリー ポイントを設置する目的で行われることもあります。
異常なネットワーク アクティビティ
異常なネットワーク アクティビティには、通常のオペレーションから逸脱したネットワーク上の異常なパターンや動作が含まれます。たとえば、通常とは異なる時間帯や見慣れない外部の場所への大量のデータ転送は、データ流出を示している可能性があります。また、通常とは異なる場所やデバイスからの頻繁なアクセス試行は、クレデンシャルの盗難や不正使用の兆候である場合があります。さらに、通常の業務活動では説明できないネットワーク トラフィックの著しい急増も、内部関係者による悪意のある活動の兆候となり得ます。
行動的な内部脅威の兆候
悪意のある内部関係者と偶発的な内部関係者のいずれも、行動的な内部脅威の兆候に注意を払うことで特定できる場合があります。技術的な内部脅威の兆候ほど定量的ではありませんが、行動的な内部脅威の兆候も潜在的なリスクを効果的に明らかにします。行動的な内部リスクの兆候には、以下のようなものがあります。
通常とは異なる勤務パターン
通常とは異なる勤務パターンは、内部脅威を示す有力な兆候です。悪意のある内部関係者は、通常とは異なる時間帯(例:勤務時間外、週末、休暇中など)にアプリケーションやネットワークにログインしたり、特に理由がないにもかかわらず遅くまで業務を行ったり、通常の職務範囲外の時間帯にシステムやデータへアクセスしたりすることがあります。
不満を抱えた言動
不満を抱えた従業員に関連する行動は、すでに悪意のある内部関係者となっている人物、またはその可能性がある人物を示す場合があります。兆候としては、性格の急激な変化、遅刻や早退の増加、上司や同僚との対立の発生、業務の成果や品質の低下、理由の説明がない欠勤などが挙げられます。
不満を抱えた従業員に見られるその他の特徴としては、退職や転職の可能性について頻繁に話すこと、経営陣や同僚、あるいは組織全体に対して恨みや失望、不満を示すこと、さらには上司や同僚を陥れるような状況を意図的に作り出すことなどが挙げられます。
ポリシー違反
すでに悪意のある内部関係者となっている人物、またはその可能性がある人物は、セキュリティ統制や組織のポリシーを回避または違反しようとする傾向があります。これには、不正アクセスを得るために、ファイアウォール、ウイルス対策ソフトウェア、暗号化などのセキュリティ対策を無効化したり、回避を試みたりする行為が含まれます。また、会社のデバイスに未承認のソフトウェアやアプリケーションをインストールすることや、個人のメール アカウントを通じて機密情報を送信したり、未認証の受信者に送付したりすることも兆候として挙げられます。
内部脅威を防ぐための具体的な方法
内部脅威を防ぐための戦略
内部脅威の兆候を監視および特定するために、さまざまな戦略を活用できます。以下は、一般的に用いられている主な戦略です。
内部脅威に関する意識向上とトレーニング
内部脅威に重点を置いたサイバー セキュリティ意識向上トレーニングを定期的に実施します。意識向上およびトレーニングで効果が実証されている手法には、以下のようなものがあります。
- 内部脅威の認識および防止の基本を網羅したトレーニング セッションの実施
- 内部関係者の侵害に広く用いられるフィッシング攻撃への認識と対応力を高めるためのフィッシング シミュレーション演習の実施
- 特に内部脅威に関連するセキュリティ ポリシーの定期的な見直し
- 従業員が現実世界の内部脅威シナリオを体験し、主体的に参加できるインタラクティブなワークショップの開催
セキュリティ ポリシー
堅牢なデータおよびネットワーク セキュリティ対策の導入は、強固なセキュリティ体制の確立および内部脅威の防止に不可欠です。これには、以下のような対策が含まれます。
- 最小権限の原則を適用して職務に必要なデータおよびシステムのみにユーザーのアクセスを制限し、不要なアクセスを最小限に抑える
- ユーザーのアイデンティティ(ID)確認を行うための多要素認証(MFA)の導入や、エンドポイント経由のセキュリティ侵害を防止するための強固なパスワードの適用など、強力な認証方法を徹底する
- 機密性の高いデータを不正アクセスから保護するため、転送時および保存時の両方で暗号化を義務付ける
- 普段とは異なる動作を検出するため、ネットワークおよびデータの活動を継続的に監視および監査するためのルールを策定する
- 内部脅威の兆候に迅速に対応するための包括的なインシデント対応計画を策定し、実施する
- サード パーティのベンダーおよびパートナーへのアクセス権限付与の方法について厳格なルールを適用し、その利用状況を監査してコンプライアンスを確保する
ゼロ トラスト
セキュリティにおいてゼロ トラストのアプローチを採用することは、内部脅威を防止し、その影響を最小限に抑えるうえで非常に効果的な戦略です。このモデルは、ネットワークの内外を問わず、いかなるユーザーやシステムもデフォルトでは信頼しないという原則に基づいています。内部脅威対策に有効なゼロ トラストの主な要素には、以下のようなものがあります。
- いかなるリソースへのアクセスを許可する前に、ユーザーのIDおよびアクセス権限を検証する
- 最小権限アクセスの原則を適用する
- アクセス権限の許可が引き続き適切であることを確認するための定期的な見直しおよび調整を行う
- ネットワークをより小さな独立したマイクロセグメントに分割して、潜在的な脅威の拡散を制限する
- 普段とは異なる動作を検知するためのユーザーの活動およびネットワーク トラフィックを継続的に監視する
- 転送時および保存時の両方でデータ暗号化を適用し、機密情報を保護する
- 検出された脅威への対応に自動化ツールを活用する
- セキュリティ監査を頻繁に実施して、ゼロ トラスト ポリシーの有効性を評価する
内部脅威の監視と防止に有効なツールとテクノロジー
以下は、内部脅威の特定および阻止に広く使用されている具体的なツールおよびテクノロジーです。
| ツール | 概要 |
|---|---|
| ユーザおよびエンティティの行動分析(UEBA) | ユーザーやデバイスの通常行動からの逸脱を検出する。 |
| セキュリティ情報イベント管理(SIEM) | ログを集約・分析し、疑わしい活動を検知する。 |
| データ損失防止(DLP) | 機密データの移動を監視し、情報漏えいを防ぐ。 |
| エンドポイント検知対応(EDR) | 端末上の不審な挙動や不正アクセスを検出する。 |
| ネットワーク トラフィック解析(NTA) | 通信状況を分析し、異常なネットワーク活動を見つける。 |
| ファイル整合性監視(FIM) | ファイル変更を追跡し、不正な改ざんを検出する。 |
| 行動的生体認証 | 利用者の操作パターンから異常行動を見つける。 |
| 脅威検知プラットフォーム | 複数の情報源を統合し、内部脅威を総合的に可視化する。 |
ユーザおよびエンティティの行動分析(UEBA)
UEBAツールは、内部脅威を示す可能性のある異常を検出するために、ユーザーやエンティティ(例:デバイス)の行動を分析します。これらのツールは機械学習アルゴリズムを用いて通常の行動の基準値を設定し、それからの逸脱をフラグとして検出します。
セキュリティ情報イベント管理(SIEM)
セキュリティ情報イベント管理(SIEM)システムは、ネットワーク全体のログ データをリアルタイムで集約・分析し、疑わしい活動を特定してイベントを相関し、内部脅威の可能性に関するアラートを生成します。
データ損失防止(DLP)
データ損失防止ツールは、組織内外に存在する機密データの移動を監視・制御し、悪意のある内部関係者によるメッセージング ツール(例:メールやインスタント メッセージ)やファイル転送ツールを使った未認証のデータ流出を防止します。
エンドポイント検知対応(EDR)
エンドポイント検知対応ツールは、内部脅威の兆候となり得る疑わしい活動を検出するために、エンドポイント(例:コンピュータやモバイル端末)を監視します。これには、不正アクセスの試行、システム ファイルの変更(例:共有や改ざん)、異常なネットワーク接続などが含まれます。
ネットワーク トラフィック解析(NTA)
ネットワーク トラフィック解析ツールは、ネットワーク トラフィックに関するデータを監視・収集することで、内部脅威を示す可能性のある異常なパターンを特定できます。これらのツールはAIや機械学習(ML)を活用してパターンを特定し、普段とは異なるデータ転送、未認証の通信、その他内部脅威に関連する活動などを検出します。
ファイル整合性監視(FIM)
ファイル整合性監視ツールは、ファイルやシステムへの変更を追跡し、未認証の改ざんを検出することで、悪意のある内部関係者を特定するのに役立ちます。重要なファイルの変更・アクセス・移動のタイミングや、変更を行ったユーザーに関する詳細な情報を提供します。
行動的生体認証
行動的生体認証は、通常認証目的で使用されますが、ユーザーの行動を追跡し、悪意のある内部関係者に関連する異常な活動を特定することにも利用できます。行動的生体認証の例としては、タイピングのパターン、マウスの動き、デバイスの取り扱い方法(例:角度や握る力の強さ)などがあります。
脅威検知プラットフォーム
脅威検知プラットフォームは、さまざまなツールや手法を組み合わせ、複数のデータソースを統合して高度な分析を行うことで、内部脅威リスクの全体像を提供します。
悪意のある内部関係者はなぜ行動を起こすのか
内部脅威の背景にはさまざまな要因があります。悪意のある内部関係者の主な動機としては、以下のものが挙げられます。
金銭的利益
内部関係者は、機密情報、知的財産、あるいは金銭を窃取し、競合他社やサイバー犯罪者に販売して金銭的利益を得ようとすることがよくあります。
報復
不当な扱いを受けたと感じる従業員や、組織に不満を抱く者は、報復として組織に損害を与える悪意のある行為に及ぶことがあります。
思想的信条
政治的、宗教的、または社会的信条に動機づけられた人物は、自身が強く信じる信条、大義、または運動をサポートするために組織に対して行動を起こすことがあります(例:エドワード・スノーデンが国家安全保障局の機密文書数百万件をメディアに公開したケース)。
強制
内部関係者は、意に反して悪意のある行為を行うよう強制や脅迫を受けることがあります。これは、内部関係者の弱点を悪用する犯罪者によって行われることが多いです。
スリルや注目の追求
内部関係者の中には、自身の技術力を示したり、組織のセキュリティ対策を出し抜いたりすることで、自己満足や承認を得ようとする動機で行動する人物もいます。
外部からの影響や勧誘
従業員が、競合他社や国家主体などの外部組織から勧誘や賄賂を受け、機密情報を収集・共有するよう仕向けられることがあります。
仕事への不満
仕事、上司、キャリアの進展に不満を抱く従業員は、フラストレーションから、あるいは変化を促すために悪意のある行為に及ぶことがあります。
機会
場合によっては、悪意のある内部関係者が単に機会主義的に行動し、検出せずに不正行為や盗難を行えると考えた際に、その予期せぬチャンスを利用することがあります。
個人的な問題
金銭的困難、依存症、その他の問題が原因で、個人が悪意のある内部関係者として行動することがあります。たとえば、共謀(サイバー犯罪者や他の内部関係者との協力)、盗難、不正行為などです。
内部脅威の実例
内部脅威の分かりやすい例として、エドワード・スノーデンのケースがあります。スノーデンは中央情報局(CIA)や国家安全保障局(NSA)で請負仕事をしていました。このケースは、内部関係者の身元や行動の方法、行動の動機を示しています。
スノーデンは、米国政府の監視プログラムが市民の自由やプライバシー権を侵害していると考えた怒りを動機に、数百万件の機密文書を窃取し、メディアに公開しました。IT部門の契約社員およびシステム管理者としてのロール(役割)と正規のクレデンシャルを利用し、アクセス権許諾のあるシステムから利用可能な情報の種類と保存場所を把握しました。
スノーデンは、対象となる文書を特定した後、技術的な迂回手段を用いて自らを信頼されたユーザーとして装い、文書が存在するシステムに不正アクセスしました。認証済みユーザーを装うことで、異常検知を回避することができました。さらに、スノーデンは持ち出そうとするファイルを暗号化してセキュリティ制御を迂回しました。また、侵害や盗難を隠すためにシステムのログ ファイルを改ざんしました。
スノーデンは、より高いアクセス権許諾を持つユーザーをだましてクレデンシャルを共有させることで、機密文書にアクセスしたと考えられています。アクセス権限が上がるごとに、より多くのシステムやファイルにアクセスできるようになりました。
まとめ
同僚やパートナーが組織に損害を与えるなんて信じがたい、と多くの人が感じていますが、それは現実として毎日起きています。しかも、その代償は極めて大きいものです。
コンプライアンスのルール上、侵害は意図的であれ非意図的であれ侵害として扱われます。また、非意図的な内部関係者の過失に起因する情報漏洩が多発していることから、内部脅威の兆候に常に注意を払うことが不可欠です。
先進的な組織は、適切なテクノロジーを活用し、チーム メンバーに特定の活動や行動に注意を払い、潜在的なリスクを見極めるよう促しています。利用可能なすべてのリソースを活用し、内部脅威の兆候に常に警戒することが、こうしたリスクを軽減する最良の方法です。
