レスポンス 、政府や組織がデータやインフラの保護を強化する中、悪意のある内部者と過失のある内部者にはどのような危険があり、どのような内部者の脅威が存在するのか?その違いをどのように見分けるのか?

悪意と過失の定義

レスポンス カーネギーメロン大学のコンピュータ緊急事態チーム(CERT)によると、悪意のある内部関係者とは、組織のデータ、システム、または日常業務のセキュリティに影響を与えるような方法で、ネットワーク、システム、またはデータへのアクセス権限を意図的に悪用したり、その権限を超えたりした現職または元職員、または請負業者のことである。

インサイダー・インシデントのうち、意図的に計画され、実行されるものはごく一部である。多くのインシデントは、過失によって引き起こされる。これは、従業員が意図せずに許可されたアクセス・レベルを超えてしまい、他人が自分の代わりに行動することを可能にしてしまい、その結果、組織に損害を与えてしまうというものです。そして、外部または悪意のある内部関係者が、最終的なインシデントの犯人となる可能性がある。Forrester Researchによる2019年の調査では、回答者の57%が内部攻撃の原因を悪意によるもの、35%が不注意による誤用、7%がこれらの組み合わせとしている。

最近、部外者が贈収賄やその他の手段で内部関係者を悪用しようとする(そして失敗する)ケースが見られる。2020年半ば、あるロシア人がテスラの従業員に、ネバダ州リノ近郊にある同社の電気自動車サブアッセンブリー工場のITネットワークにマルウェアを仕込むよう100万ドルを提供した。

FBIによると、マルウェアが仕掛けられると、ロシア人とその仲間はテスラの内部ファイルにアクセスし、データを流出させ、身代金を支払うよう同社を脅迫する計画だった。犯人は従業員にバーナーフォンを渡し、送金されるまで機内モードにするよう指示したという。しかし、会社のネットワークに直接アクセスできるこの従業員は、代わりにFBIに連絡して犯人逮捕に協力した。

悪意のあるインサイダー

悪意のあるインサイダーの場合、その目的は破壊、汚職、窃盗であることが非常に多い。窃盗は金銭的な利益をもたらすことが多いが、破壊や汚職は不満を持つ従業員から発生する可能性があり、組織全体に向けられることもあれば、特定の同僚に向けられることもある。要するに、意図がすべてなのだ。

例えば、不満を持つ内部関係者が同僚の認証情報を盗み、その認証情報でログオンして疑わしいウェブサイトを閲覧することにしたとします。最終的な目標は、IT部門に違反に気づかせ、人事部や同僚の上司に報告させることで、同僚の信用を落とすことです。この例は単純に見えますが、多くのインサイダー脅威のケースで見られる、準備と実行の共通パターンが数多く含まれています。これらはテクノロジーを採用することで明らかになり、観察されることが多い。

第 1 段階は探索と実験であり、不満を抱えた内部関係者は、Google ウェブ検索などを通じて認証情報を盗む方法を見つけ出す。次に、内部関係者はいくつかの抽出方法を試し、ローカル環境で機能することを確認する。

実行可能な方法が選択された後、インサイダーは同僚のクレデンシャルを盗んで使用することで、実行モードに入る。最終段階は、不満を持つ内部関係者につながる可能性のある証拠を削除・消去することで、逃走または回避する。このプロセス全体は、外部の脅威アクターが用いるアプローチと驚くほど似ている。

過失のあるインサイダー

次の例は、不満を抱いた内部関係者が外部の関係者に代わって行動し、企業に大きな損害を与える可能性があることを示している。

ある小さな技術会社のシステム管理者に、外部の人間が、金銭と引き換えに組織のネットワーク内に監視ソフトウェアをインストールするよう勧誘してきた。最近降格させられたシステム管理者は、会社を辞めて別の仕事に就く前にソフトウェアをインストールすることにした。

この場合も、インサイダーはまず、テスト・マシンにソフトウェアをインストールすることで、ネットワークのフットプリントとネットワーク内での検知可能性を測定し、実験を行います。このソフトウェアが簡単に発見されたり追跡されたりすることはないと確信した内部関係者は、同僚のアカウントを使ってソフトウェアをインストールし、証拠を消去する。

怠慢なインサイダーは積極的に情報を盗んでいるわけではないので、その行為から直接利益を得ることはないが、悪意のあるインサイダーはそうなる。

組織内部からの脅威はどの程度深刻なのか?

興味深いことに、インサイダー・インシデントで最も頻度が高かったのは、過失のあるインサイダーによる意図しない機密データの漏洩と、悪意のあるインサイダーによる知的財産の窃盗であった。

これらの数字を踏まえてもなお、自分の組織は安全だと考えるのであれば、全オフィスワーカーの87%が転職時にデータを持ち出し、組織の年間離職率は通常約3%であることを念頭に置いてほしい。

Forrester Researchが2019年に実施した調査によると、グローバル企業のネットワークセキュリティの意思決定者の52%が、過去12カ月間に自社が機密データの侵害を少なくとも1回は経験したと報告している。そして、機密データの侵害の半数近くは、不適切な判断または悪意のいずれかによって、内部関係者の手によってもたらされた。セキュリティチームは通常、アクセスを監視・監査することで内部脅威への備えを行い、事前の検知に失敗しても、インシデント発生時に少なくともフォレンジック分析ができるようになることを期待しています。

明らかに、このアプローチでは、被害が発生する前に阻止するために必要なリードタイムをセキュリ ティチームに提供することはほとんどできない。インサイダーの脅威に対するレジリエンスの聖杯には、脅威が発生する前から検知 を検知する能力が含まれる。しかし、悪意のあるインサイダーの病理は非常に複雑である。インサイダーは通常、検知を逃れるために予防策を講じる。では、どのようにすればソフトウェア・ソリューションは、何が脅威で何が脅威でないかを確実に識別できるのだろうか?

最近の技術の進歩は、以前は困難と考えられていた人間の嗜好や性質、そしておそらく行動までも予測することに大きな進歩を示している。アレクサ、シリ、コルタナのようなシステムは、ユーザーのニーズを声に出す前から定期的に予測しているようにさえ見える。

全国インサイダー脅威啓発月間です。Vectra がどのように役立つかをお知りになりたい場合は、デモをご予約ください。

よくあるご質問(FAQ)