内部脅威への対策として有効な5つの方法
企業にとって、従業員に起因するセキュリティリスクをはじめとした脅威は、意外なほど身近に存在している可能性があります。本記事では、内部脅威に関連するリスクの実態と、それを防ぐために役立つ具体的な対策を詳しくご紹介します。
テスラ社の従業員が元同僚から飲み会に誘われたことが、事態の発端でした。何度か食事を重ねるうちに、相手の真意が明らかになってきました。100万ドル(約1億4,000万円)を支払う代わりに、テスラ社のネットワークにマルウェアを仕込むよう持ち掛けられたのです。この計画が成功すれば、犯罪組織にテスラ社の機密情報が渡り、身代金が要求される事態に発展する可能性がありました。しかし、従業員が適切な対応を取ったことで、この企みは未然に防がれました。事件の詳細はテスラ社に報告され、FBI(米国連邦捜査局)の協力を得て、関与した人物は訴追されました。
このケースは大事には至りませんでしたが、異なる結果を招く可能性も十分にあったことは見逃せません。この出来事は、従業員が企業にとって重要な資産である一方で、見落とされがちなサイバーリスクの要因にもなり得ることを改めて認識させました。
内部脅威のリスクに関しては、調査結果も示されています。ベライゾン社の2023年データ漏えい/侵害調査報告書(DBIR)によると、約5,200件の情報漏えいのうち19%が組織内部に起因するものでした。また、Ponemon Institute社がITおよびセキュリティ専門家1,000人に実施した調査によると、内部関係者によるセキュリティインシデントはわずか2年間で44%増加したことが報告されています。さらに、同社の2022年「内部脅威による損失:グローバルレポート」では、6,800件以上のインシデントが確認され、影響を受けた組織は年間1,540万ドル(約22億5,000万円)の損失を被ったとされています。
内部脅威に対する攻撃対象が広がり続けている
ランサムウェア攻撃やサイバー犯罪のサービス化(cybercrime-as-a-service)のビジネスモデルの拡大に伴い、ソフトウェア・サプライチェーン攻撃やビジネスメール詐欺(BEC)、従業員のログイン情報を悪用した詐欺といった重大な脅威が増加しています。これにより、サイバーセキュリティは経営層の最優先課題として認識されるようになりました。
デジタルトランスフォーメーション(DX)の進展とクラウド技術を活用した柔軟な勤務形態の実現により、サードパーティー・ベンダーへの依存が高まり、組織のアタックサーフェス(攻撃対象)は広がっています。これにより、サイバーセキュリティ環境はかつてないほど複雑化し、攻撃者はその複雑さを突いて攻撃を仕掛けてきます。最も深刻なリスクを特定し、優先順位をつけることは、今や簡単ではありません。
さらに、外部攻撃者に対する対策だけでは不十分であることも明白です。従業員によるインシデントの方が、外部の攻撃者によるものよりも大きな影響を及ぼすことがあり、内部脅威が「最重要案件」として扱われることは少ないのが現状です。
内部脅威はすぐ側にある
内部脅威とは、企業のネットワーク、システム、データに損害を与えるサイバーセキュリティ上の脅威で、組織内から発生するものを指します。一般的には、現在または過去にその組織に所属していた従業員や、請負業者によるものが多いです。
内部脅威は、大きく分けて意図的なものと意図的でないものの2種類に分類されます。意図的でないものは、さらに事故と不注意に分けられます。ある調査によると、従業員が関与したインシデントの大半は悪意ではなく、不注意や過失が原因であることが多いとされています。
内部脅威には、機密情報の窃取や不正使用、社内システムの破壊、悪意のある攻撃者へのアクセス権の付与などさまざまな種類があります。これらは、金銭的な動機、報復、イデオロギー、過失、または単純な悪意など、さまざまな理由によって引き起こされます。
また、内部脅威には特有のセキュリティ上の課題があります。従業員は外部攻撃者よりも攻撃の機会が多く、これらの脅威を検知することは非常に困難です。従業員や請負業者は、業務上必要なアクセス権限を有しているため、攻撃が実際に発生するまで、または損害が生じるまで脅威を察知することは難しい場合があります。また、従業員は企業のセキュリティ手順を理解しているため、それを簡単に回避することができてしまいます。
セキュリティ対策として身元調査を実施することがありますが、人間の心理状態は時間とともに変わるため、完全に把握することは難しいのが現実です。
とはいえ、内部脅威を検知するのが困難であるにもかかわらず、企業はリスクを軽減するための対策を講じることが可能です。その対策は、セキュリティ管理の強化、セキュリティ意識の文化の醸成、そしてツール、プロセス、そして人材の最適な組み合わせを通じて実現されます。
内部脅威のリスクを軽減する5つの予防策
ここでご紹介する5つの予防策は、サイバーセキュリティにおける完全な解決策ではありませんが、組織を内部脅威から守るためには有効な手段となる可能性があります。
1)アクセス制御の実装
役割ベースのアクセス制御(RBAC)などのアクセス管理システムを導入することで、必要な従業員にのみ機密情報やシステムへのアクセス権を与えることができます。職務に基づいてアクセス権を設定することにより、内部脅威のリスクを大幅に低減することができるでしょう。従業員の役割に応じて、アクセス権の適正を保つため、定期的に確認を行うことが重要です。
従業員のアクティビティを監視
従業員の業務用端末や社内ネットワークにおけるアクティビティを監視するツールは、内部脅威の兆候として疑わしい行動を見逃すことなく特定できます。また、機密データへの不審なアクセス履歴や、異常なデータ転送を発見するためにも有効です。ただし、プライバシーに関する懸念を解消するためには、監視方法のガイドラインをしっかりと策定し、現地の法令を遵守することが重要です。
3)身元調査の実施
機密情報や社外秘のデータへのアクセス権を付与する前に、従業員や請負業者、ベンダーに対して身元調査を実施することが推奨されます。これにより、潜在的なリスクを早期に特定でき、職歴や犯罪歴などの確認手続きも含まれます。
4)情報セキュリティ研修の整備
従業員に対して定期的に情報セキュリティ研修を行うことにより、サイバーセキュリティリスクに対する理解を深め、そのリスクを軽減する手助けとなります。特に、フィッシング詐欺などの意図しない内部脅威の発生を抑制することが期待できます。
5)データ損失防止(DLP)
DLPシステムの導入により、機密情報の不正な転送や共有を監視・検知・防止することが可能になり、内部脅威を減少させ、機密情報の保護にも貢献します。しかし、DLPベンダーも攻撃者のターゲットとなることがあり、これが新たな課題となる可能性もあります。
情報セキュリティ研修に関する注記
情報セキュリティ研修を優先的な対策として挙げる理由は、企業が意図しない内部脅威のリスクを削減できるからだ。多くの従業員はサイバーセキュリティに十分な注意を払わず、結果としてフィッシングリンクをクリックしたり、マルウェアに感染したり、機密情報を漏洩させるリスクが生じる。定期的な研修を行うことで、これらのインシデントを防ぎ、企業は内部脅威によるコストや漏えいに関連する法的トラブル、風評被害を最小化できるだろう。
