ここ数ヶ月、セキュリティ侵害のニュースが後を絶たず、ハッカーは依然としてクレジットカード・データを狙っているが、トレンドはより豊富なデータ記録と組織内のさまざまな重要資産を悪用する方向に向かっている。その結果、組織は重要な情報資産を特定し追跡するための新しいスキームを開発する必要がある。
金融業界で最近起きた最大の情報漏洩はJPモルガン・チェースで発生し、推定7,600万件の顧客記録と800万件の企業記録が複数の社内サーバーから盗まれた。モルガン・スタンレーでは、同社の資産管理グループの従業員が、モルガン・スタンレーの最も裕福な顧客の最大10%の情報が流出した後に解雇された。アンセム社では、社会保障番号を含む個人を特定できる情報(PII)を含む8000万件以上の記録が流出した。チェサピーク・エナジー(NYSE: CHK)の元CEOによる企業秘密の窃盗疑惑は、あまり知られていないが、損害や訴訟という点ではより高額になる可能性がある。
これらの違反行為に共通すること、そして何がこれほどまでに悪質なのだろうか?
モルガン・スタンレーとチェサピーク・エナジーは、権限を与えられた従業員が会社の資産にアクセスして盗み出すというインサイダーの脅威があり、JPMCとアンセムは、ハッカーが社内のデータベースに侵入し、個人を特定できる情報を含む顧客記録を盗み出すという標的型サイバー攻撃があった。この4つのケースすべてにおいて、特別な資産に必要な監視の重要性を軽視、あるいは単に無知であったために、重要な資産が社内ネットワーク内で十分に保護されていなかった。アンセム社の情報漏えいが特に心配なのは、非常に機密性の高い個人情報データへのアクセスが厳重に管理されておらず、「静止状態」でのデータの暗号化も行われていなかったからである。
ハッカーとインサイダーが重要資産を狙う
最近のハッカーや内部関係者は、"重要資産 "という観点から物事を考えるようになっている。クレジットカード番号は窃盗や侵害の主要な標的だったが、クレジットカード会社による不正検知の強化やチップベースのクレジットカードへの移行により、闇市場での価値は低下している。その一方で、より一般的なデータ記録(個人データ、健康情報、知的財産を含む)の価値は高まっている。その結果、個人データは盗まれたクレジットカード番号の10倍の価格で取引されている。
さらに重要なことは、一見無価値に見える山のようなデータ項目が、自宅の住所やTwitterのハンドルネームといった他のデータと相関することで、価値ある情報になり得るということだ。大量のデータを収集し、データマイニングやデータサイエンスの技術を適用することで、悪者は大量の非構造化データから価値を引き出すことができるようになった。DARPAによると、アメリカ人の約80%は3つのデータで特定できるという。
リソースの情報内容が不明であったり(特定のサーバー上の機密ファイルなど)、内容はわかっていてもその価値が不明であったり(メールアドレス、Twitterのハンドルネームなど、一般に公開されているデータなど)するため、重要な資産の価値が一見してわからないことがよくある。
どちらの場合も、状況を把握するのは難しい:前者は、制御が難しい人為的ミスやシステム上の欠陥が原因であることが多く、後者は、企業の情報セキュリティチームがハッカーの能力、創造性、モチベーションを推定する必要がある。いずれのシナリオにおいても、データ・アクセスを完全に制限したり、ネットワーク・リソースをシャットダウンしたりすることは、現実的な解決策ではない。
状況を把握するために重要な資産を特定する
問題は、重要な資産を確実かつタイムリーに特定し、追跡することに集約される。重要資産(価値のある情報など)の所在が分かれば、適切な保護措置を講じることができ、脅威に対してより的確に対応することができる。社内ネットワークへの侵入や、内部関係者によるネットワーク上のマシンへの不正アクセスも、重要資産への脅威の近接性が分かれば、即座に評価し、未然に防ぐことができます。では、ネットワークで追跡すべき資産を特定し、追跡し、更新するにはどうすればよいのでしょうか?
このような重要資産のリストを作成し、常に最新の状態に保つ方法について、普遍的なレシピはない。手始めに、手動と自動の両方の手段を使って、ネットワークで何が重要かを特定するのが良い方法だ。手作業による特定は、ネットワーク上の情報をそのコンテンツの価値によって追跡し、自動的な特定は、使用頻度や期間によって資産を明らかにする(頻度や期間が価値と等しいと仮定する)。
手作業による識別の場合、まず問うべきは、どのような情報に価値があり、どのような情報が盗まれた場合、組織外の誰かにとって価値があるのか、ということである。前述したように、クレジットカード番号や顧客記録だけでなく、売上高、会社のプレゼン資料、さらには行動ログファイルまでが対象となる。手作業によるレビューが徹底していればいるほど、最終的な重要資産のリストはより良いものになる。
リストが作成されたら、次のステップは、特定された情報の場所を追跡し、脅威調査の中心に据えることである。その情報は、リモートアクセス可能な特定のサーバーにしか存在しないのか?それとも、あまり安全でないファイルサーバーやノートパソコンにコピーされている可能性はないだろうか?これにより、潜在的な重要資産の場所を示すマップが得られるはずだ。
似たような、しかし補足的な分析は、ネットワークの活動を観察することによって自動的に行うことができる。ネットワーク上で最も頻繁にアクセスされているデータを探す。データ・アクセスの頻度から、(ウィキ・ページのような)かなり些細な情報ビットも得られるが、手動レビューでは見逃されていたさまざまな場所に保存されている情報が明らかになることも非常に多い。さらに、自動追跡と識別は常に行うことができ、ネットワーク上の新しい重要な情報ソースが出現すると即座に表示することができる。
パズルの最後に残る、そして最も重要なピースは、特定された重要資産に関わる活動を効率的に監視することである。悪意のある活動や損害は、これらの資産の周辺で発生する可能性が高く、そのため、探索するスペースが制限される。
しかし、実際の監視を安全で予防的なものにするためには、事前に定義されたアクセスパターン(大量のダウンロードなど)だけでなく、異常も探す必要がある。異常がある場合にのみ、重要な資産周辺での将来の悪意ある活動を確実に検知することができる。
内部脅威のリスクは明らかであるにもかかわらず、サイバーセキュリティの最も過小評価され、十分に対処されていない側面の1つであることに変わりはない。本レポートでは、インサイダーの脅威を阻止するための正しい道を歩み始めるために、あらゆる組織が取るべき行動を取り上げている。