サイバー分野における脅威は外部の攻撃者とその帰属、そして彼らが利用するツールや手法が常に注目されています。しかし外部の攻撃者以上に対応が困難で被害も多く出ているのが内部関係者による攻撃、すなわちインサイダーの脅威です。実際、従業員や元関係者による情報漏洩等は頻繁に報道されています。その要因の一つは性善説に基づいたインフラの設計・運用にあります。多くの組織では「内部関係者や機器は信頼できる」ことが前提とされてきたためです。しかし繰り返される内部関係者に起因するインシデントや事故から、こうした体制を見直す機運が少しずつですが出てきています。インサイダーの脅威に対応するガイドラインとなる研究が、NATO (北大西洋城機構)加盟国に対してサイバー防衛の情報連携と訓練を行なっている NATOサイバー防衛協力センター(Cooperative Cyber Defense Centre of Excellence 。以下CCDCOE) から2015年に発表されています。本稿はこのガイドラインの概要を紹介し、今後の企業に必要なインサイダー脅威への対応策を検討します。
CCDCOE が発表したこの研究はインサイダー脅威の定義、分類、対応策の構築、検出ガイドなどを含む多面的かつ網羅的な構成となっています。ここでは定義、分類、検出に関して見てみます。
一般的に「インサイダー」は組織のメンバー、外部業者を含むビジネスパートナー、以前在籍していた人などがあげられます。この研究ではインサイダーを「内部・外部」や「悪意の有無」ではなく、組織に損害を与える可能性として知識、アクセス、信頼の3つで分類しています。
インサイダー脅威の類型として以下の5つを定義しています。
興味深いのは、「悪意のない内部関係者」をインサイダーのリスクとして捉えている点です。先の定義にもあったように、悪意の有無や内部の人かどうかは関係なく組織に損害を与えるリスクは存在するからです。例えばメールのリンクをうっかりクリックしてしまう、脆弱なパスワードを利用している、パッチの適用を忘れてしまうなど、外部の攻撃者を意図せず招き入れてしまうリスクはどの組織にも存在します。
インサイダー脅威を検出するための指標として、この研究では非技術的分類と技術的分類を提示しています。
ここでは詳しく紹介しませんが、非技術的な指標は従業員または関係者にとって非常にデリケートな問題となります。人事などの専任の担当者やカウンセラーが対処する必要があります。
こうした項目はITやセキュリティ部門が通常行なっているセキュリティモニタリングと同様です。例えばCCDCOEの研究にあるコンピューターネットワークの検出例として以下の表があげられていますが、インサイダー脅威の種類によって各項目の発生頻度が異なります。
| 妨害 | 知財の窃盗 | 詐欺 | スパイ | 意図しない | |
| 競合他社との通信 | 低 | 高 | 高 | 中 | 低 |
| 常識外のサイズのメール | 低 | 高 | 高 | 高 | 低 |
| アンダーグラウンドサイトへのアクセス | 中 | 高 | 低 | 中 | 低 |
| IRCなど怪しいプロトコルの利用 | 低 | 高 | 低 | 低 | 高 |
| TorやVPNなど怪しいサービスの利用 | 低 | 高 | 低 | 低 | 低 |
| 攻撃ツールの実行 | 中 | 高 | 低 | 中 | 低 |
| マルウェアの実行 | 中 | 低 | 低 | 低 | 高 |
| 発信接続数の異常なピーク | 中 | 高 | 低 | 高 | 低 |
| 未認可デバイスをネットワークに接続 | 中 | 高 | 低 | 高 | 中 |
| 不許可ソフトウェアのダウンロード | 高 | 中 | 低 | 中 | 中 |
| 終業時間外にネットワーク接続の開始 | 中 | 高 | 低 | 中 | 高 |
表1: インサイダー脅威別ネットワーク検出指標
外部から侵入してくる攻撃への対処とは異なり、インサイダー脅威のリスクへの対処には技術的検出指標と非技術的検出指標の双方を総合的に判断することで早期発見につなげることができます。これは従来セキュリティを担ってきたITなどの技術部門だけで実行することは難しく、人事や総務といった部門と協力して対応していく必要があります。技術部門と非技術部門双方をつなぐため経営層によるリーダーシップの発揮と実行力が不可欠です。
インサイダーのリスクは単純に「悪意のある内部関係者」だけにとどまりません。特に急速なクラウドやリモートワークの広がりは組織とその運営が複雑化していく傾向が高いため、見落とされるインサイダーリスクが増加する可能性があります。経営層は技術部門と非技術部門の双方を率い、自社のビジネスリスクに対応していく必要があります。その際は、インサイダーリスクの大きな要因である「信頼」に対抗するため、ゼロトラストをベースにしたアプローチを導入することで、リスクの低減とセキュリティの強化を行いましょう。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.