進化するインサイダー脅威ランドスケープ:戦略的に対応するには | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 進化するインサイダー脅威ランドスケープ:戦略的に対応するには

Threat Report

CSIRT

Cyber Intelligence

Flashpoint

進化するインサイダー脅威ランドスケープ:戦略的に対応するには

佐々山 Tacos

佐々山 Tacos

2024.09.20

インサイダー脅威とは、従業員、請負業者、パートナーなど、機微な情報やシステムにアクセスする権限を持つ組織内部の個人が故意に、または意図せずそのアクセス権を悪用してセキュリティを侵害することによって、組織のセキュリティにもたらされるリスクを指します。

 

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。

デジタル環境が進化するにつれ、内部から生まれるセキュリティ脅威も複雑化が進んでいます。インサイダー脅威(従業員など、組織内部の関係者に起因する脅威)は、偶発的なデータ漏洩から計画的な侵害行為までを含み、現代の組織にとって極めて重要な懸念事項です。インサイダー脅威を認識し、緩和するためには、従来のような外部の脅威に対する防御とはまた別の、高度な理解とアプローチが求められます。

インサイダー脅威の理解

インサイダー脅威は、その意図も影響もさまざまです。不注意でデータの扱い方を誤ってしまう従業員から、個人的な利益のために悪意を持ってアクセス権を悪用する従業員まで、その範囲は多岐にわたります。また、脅威アクターやAPTグループ(Advanced Persistent Threat Group:高度持続的脅威グループ)が、自身の行う不正なキャンペーンに役立てる目的で内部関係者を積極的にリクルートする場合があり、結果的にインサイダー脅威がより深刻なものになるケースも多々あります。このため、外部からの侵入に備えるだけでなく、内側からのセキュリティ強化を実施することも、組織にとっては極めて重要です。

2024年中期のインサイダー脅威に関する統計

インサイダー脅威に関する誤解

インサイダー脅威への対応は、よくある誤解を解くことから始まります:

  • インサイダー脅威は、すべてが意図的なわけではありません。多くは過失や認識不足の結果として生じます。
  • 効果的なインサイダー脅威対策プログラム(ITP)とは単なるツールや手段のセットではなく、包括的な戦略と捉えるべきです。部門を横断して協力し合うことが求められるほか、調査機能も併せて盛り込む必要があります。
  • インサイダー脅威をITPだけで完全に防ぐことは不可能であり、有効かつ強力なセキュリティ慣習が不可欠です。

インサイダー脅威に対抗するインテリジェンスサイクル

インサイダー脅威を効果的に抑え込むには、インサイダー脅威を想定したインテリジェンスサイクルを通じて構造的なアプローチを採用する必要があります。

 

<インサイダー脅威インテリジェンスサイクル>

インサイダー脅威インテリジェンスサイクル

  • 計画・方向性の決定:インサイダー脅威対策プログラム(ITP)は、重大な知識の欠落部分を埋めるためのインテリジェンス要件や目標を設定するところから始まります。知識の穴を埋めるための取り組みとしては、例えばインサイダーを勧誘する際に使われる通信手段が何なのかを特定したり、インサイダー脅威になり得る対象を評価・査定したりといったアクションが挙げられます。
  • 収集:ユーザー行動分析の結果やディープウェブフォーラムなど、組織内外の情報源からデータを収集し、そこからインテリジェンス要件を満たすために欠かせない、鍵となる情報を入手します。
  • 分析:収集したデータを精査し、実際の行動に繋がるような結論を導き出します。インサイダーを勧誘するためのコミュニケーションプラットフォームやよく使われるインサイダー戦術の洗い出しなどが、その一例です。
  • 生産:分析から得られた知見は、従業員モニタリングやトレーニングプログラムなど、インサイダー脅威を軽減するためのポリシーや対策を整備する上で参考にすることができます。
  • 配布・フィードバック:ステークホルダー(利害関係者)と連携することで、提案された計画がより緻密なものとなり、インサイダー脅威に対抗するための包括的なアプローチを確実に実施できるようになります。

インサイダー脅威に特有のリスクと課題

多くのSOC(セキュリティオペレーションセンター)やインシデントレスポンス(IR)チームは、主に外部からの脅威に対抗するための構成になっています。こうした脅威は、検知の可能なネットワーク侵害によって明確に顕在化するものです。一方でインサイダーは企業のリソースに合法的にアクセスできるため、当然ながら外部からの脅威に対する防御の多くをバイパスすることができます。インサイダー脅威は外部からの攻撃と同じくらい有害なものになり得る上、従業員には一定の信頼が置かれていて各種アクセス権が付与されていることを踏まえると、検出が困難であり、場合によってはより壊滅的な被害をもたらす可能性があると言えます。たとえそれが、機微な情報を誤った相手に送付したことによる情報漏洩など、シンプルなミスに起因するものであっても同様です。しかし、金銭的利益を目的としたデータ窃取などのより悪質な行為を想定すると、インサイダーが行動を起こした際のリスクはより一層大きくなります。

悪意のあるインサイダーは、すでに重要なITシステムや、知的財産などの企業資産、また顧客や従業員の個人情報にアクセスできる状態になっているかもしれません。 このため、インサイダーは外部からの脅威と同レベルの注意を払うべき手ごわいリスクとなります。不満を抱いた従業員は、データを盗み、不法なマーケットプレイスやフォーラムで自らのアクセス権を宣伝するようなインサイダーになる可能性があり、そこから、倫理観のない競合他社やサイバー犯罪者、あるいは国家の諜報サービスの勧誘を受けることもあり得ます。したがって、インサイダーは抑え込むべきリスクであり、テクノロジーと人間行動の理解を融合させて、組織に影響が及ぶ前に脅威を適切に分析することが必要です。

インサイダー脅威の軽減

インサイダー脅威を軽減するには、事前対策と事後対策を組み合わせることが求められます。そのための方法の1つが、User Behavior Analytics(UBA/ユーザー行動分析)などの高度な分析ツールの導入です。UBAは、さまざまなソースからのデータを相関させることで、異常な行動パターンや潜在的な脅威の検出を支援するツールです。加えて、強固なアイデンティティおよびアクセス管理プロトコルを維持し、セキュリティのベストプラクティスについて従業員を継続的に教育することも、リスクを最小限に抑えるために不可欠なステップとなります。

サイバー脅威インテリジェンスチームに必要になるのは、ディープ・アンド・ダークウェブや不正なマーケットプレイス、フォーラムをリアルタイムで監視し、インサイダーが企業データを差し出そうとしている兆候があれば、それに関連するあらゆる情報を転送できるような情報ソースです。また、セキュリティチームは、UBAツールを通じて内部データを相関させるメカニズムも保有しておくことが推奨されます。従来のツールや手法では、疑わしい行動に関わる微妙な手がかりを拾えない可能性があるため、複数のデータソースを統合したより繊細な分析が必要です。

Flashpointは、インサイダー脅威の検知と管理を強化する高度なソリューションを提供しています。Flashpoint Igniteは、脅威アクターのTTPの監視、分析、対応に加え、インサイダーの行動や活動の兆候を認識するのに役立つツールです。

Flashpointでインサイダー脅威の特定を

インサイダー脅威は、単なる技術的なソリューション以上のものを必要とする複雑なセキュリティ上の課題であり、組織の内部環境の微妙な動きに合わせた戦略的なアプローチが求められます。脅威が進化するのに合わせて、それに対抗する私たちの戦略も進化させ、絶えず警戒を緩めずに対策を臨機応変に調整していかねばなりません。組織内のインサイダー脅威をより深く理解してこの脅威に対抗するため、今すぐFlashpointのデモにお申し込みください。

 

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ