インサイダーの脅威:何に注目し、どう対処すべきか

2020年9月22日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
インサイダーの脅威:何に注目し、どう対処すべきか

フォレスター・リサーチの調査によると、故意か悪用かを問わず、昨年のデータ漏洩の約半数は内部関係者が原因であった。調査対象者のうち46%は、従業員または第三者のビジネス・パートナーが関与したインシデントに見舞われている。

全国インサイダー脅威啓発月間の一環として、私たちは悪意のあるインサイダーと過失のあるインサイダーを定義し、インサイダー脅威と内部告発者の違いを説明しました。お気づきのように、すべてのケースにおいて、差別化要因は意図です。そして、これは内部脅威の種類を区別するのに役立ちますが、これらによる結果は壊滅的なものになる可能性があります。

アクセンチュアとポネモン研究所が2018年に発表した共同研究によると、インサイダー脅威のコストは着実に上昇しており、現在では1インシデントあたり162万1075ドルで、年間876万ドルを超えるものもあるという。

内部脅威によるリスク要因

なぜ内部脅威が増加しているのか?理由のひとつは、頻繁な転職である。従業員が1つの会社でキャリアを全うする時代は終わった。雇用主に対する忠誠心の欠如や離職率の上昇は、知的財産や機密情報の盗難リスクを高めている。オフィスワーカーの大部分は、転職時にデータを持ち出す。データ流出の可能性が高まるだけでなく、実際のデータ盗難も非常に容易になっている。COVID-19により、今日の従業員は自宅からリモートで仕事をし、どこにいても会社のデータにアクセスできるようになった。

従業員の安全を守り、生産性を維持することを目的としたCOVID-19によるリモートワークの急増は、サイバーセキュリティの脅威となることが判明した。会社のネットワークがマルウェアに感染することに加え、個人所有のデバイスを業務に使用することで、会社のデータがコピーされやすくなる。従業員が退職を決めた場合、会社のデータのコピーは外付けのドライブやデバイスに残ることが多いため、データ損失は意図せず、検知可能な流出なしに起こることが多い。

マイケル・ミッチェル事件はその好例である。この元デュポン社のエンジニアは、同社に在職中、機密情報や専有情報を含む数多くのデュポン社のコンピュータ・ファイルを自宅のコンピュータに保管していた。彼が解雇された後も、これらのファイルは検知されることなく自宅のコンピュータに残っていた。ミッチェルは、韓国の競合他社とコンサルティング契約を締結した際、そのデータを競合他社に提供し、その結果、デュポンに数百万ドルの損失をもたらした。ミッチェルのケースを含む多くのケースは、より迅速な発見と対応、そして最新の企業ポリシーがあれば、未然に防げたか、少なくとも制限できたはずである。

内部脅威への対応

インサイダーの脅威に対する適切なレスポンス の最初のステップは、問題に対する認識を高めることである。ロバート・P・ハンセンを題材にした「Breach 」のようなハリウッドの超大作映画になるケースもあるが、インサイダーの脅威はいたるところで発生している。内部脅威の検知、介入、予防の責任は、多くの場合、情報セキュリティ、法務、人事(HR)の各部門で分担されている。効果的な内部脅威プログラムの実施には、行動項目と責任を明確に定義することが極めて重要です。

答えるべき重要な質問は、"内部関係者が御社に危害を加えようとした場合、何が狙われ、どのような損害が発生する可能性があるのか "ということです。守るべき重要な資産と、それらが漏えいした場合の損失や損害に対する組織の許容範囲を定義する。

そして、そのような脅威を防ぐために、重要な資産が盗まれたり損害を受けたりする前に、社内各部署でどのような振る舞い 前兆を検知し、阻止できるかを自問する。

どのような行動を見るべきか?

前駆体の例としては、以下が挙げられる:

  • 大量のダウンロードやプリントアウトなど、コンピューティングリソースの不正使用。
  • 敵対的な職場行動に関する人事報告
  • 従業員に対する現在進行中の法的調査に関する情報

最も重要なことは、異なる部門からの前兆を関連付けることによって点と点を結びつけ、組織にとって最も高いリスクに関する傾向を洞察できるようにすることである。

Vectra Cognitoは、人工知能を使用して、キルチェーン全体で攻撃者の行動を検知するネットワーク検知および対応プラットフォームです:コマンド&コントロール、偵察。デモをご希望の方は、こちらからご予約ください。

よくあるご質問(FAQ)