内部脅威:何を探し、どのように対応すべきか

内部脅威:何を探し、どのように対応すべきか

内部脅威:何を探し、どのように対応すべきか

内部脅威:何を探し、

どのように対応すべきか

内部脅威:何を探し、

どのように対応すべきか

By:
投稿者:
Joe Malenfant
September 22, 2020

Forrester Researchの調査によると、昨年のデータ侵害の約半数は内部の人間が引き起こしたものでした。侵害には意図的な悪意を持った場合と過失である両方の場合を含み、調査対象者のうち、46%が従業員や第三者であるビジネスパートナーが引き起こしたものでした。

NationalInsider Threat Awareness Month”(アメリカにおける内部攻撃に対する意識向上月間)の一環として、「悪意のある内部関係者」と「過失のある内部関係者」を定義し、さらに「内部脅威」と「内部告発者」の違いを説明しています。両方のケースで違いは意図的であるか否かであることがわかるかと思います。このことは、内部脅威の種類を区別するのに役立ちますが、その結果は壊滅的なものになる可能性があります。

アクセンチュアと米調査会社ポネモン・インスティテュートが2018年に発表した共同研究によると、内部脅威の対策コストは着実に上昇しており、現在ではインシデント1件あたり1,621,075ドル、中には年間876万ドルを超えるものもあると言います。

 

内部脅威によるリスクの要因

なぜ内部の脅威が高まっているのでしょうか?その理由の一つは、従業員の回転率にあります。従業員が1つの会社で生涯働く時代は終わりました。雇用主への忠誠心の欠如と離職率の上昇は、知的財産や機密情報の盗難のリスクを高めています。オフィスワーカーのかなりの割合が、転職時にデータを持ち出すことになります。データ流出の可能性が高まるだけでなく、実際にデータを盗むこともはるかに容易になりました。新型コロナウイルス感染症(COVID-19)の影響で、今日の従業員は自宅でリモートワークを行い、どこにいても会社のデータにアクセスできるようになったからです。

COVID-19によるリモートワークの急増は、従業員の安全を確保しつつ生産性を維持することを目的としていますが、サイバーセキュリティの観点からは脅威であることが分かっています。会社のネットワークをマルウェアに感染させるだけでなく、個人のデバイスを業務で使用することで、会社のデータのコピーが容易になります。また、従業員が退職することになっても、会社のデータのコピーが外付けのドライブやデバイスに残ってしまうことが多く、データの損失が意図せずに起こるだけでなく、気がつかないうちに流出してしまう可能性があるのです。

元デュポン社のMichael Mitchellのケースがその好例です。エンジニアであるMitchellは、デュポン社に在籍していた期間中、機密情報や専有情報を含む多数のデュポン社のコンピュータファイルを自宅のコンピュータに保存していました。Mitchellが退職した後も、これらのファイルは自宅のコンピュータに残ったままで、Mitchellは韓国の競合他社とコンサルティング契約を結んだ際に、そのデータを韓国の競合他社に提供し、デュポンに数百万ドルの損失をもたらしたのです。このケースを含め、多くのケースは、より迅速な検出と対応、そして最新の会社方針があれば、完全に防ぐことができたか、少なくとも限定的なものにすることができたでしょう。

 

内部関係者による脅威への対応方法

内部脅威への適切な対応の第一歩は、問題意識を高めることです。ロバート・ハンセンの実話を基にした『アメリカを売った男』のようにハリウッド映画として注目を集めるケースもありますが、実は内部脅威はいたるところで発生しています。内部脅威の検知、介入、予防の責任は、情報セキュリティ部門、法務部門、人事部門の間で共有されることが多くあります。効果的な内部脅威プログラムを実施するためには、振る舞い項目と説明責任を明確に定義することが重要です。

自ら問うべき重要な質問は、「もし内部関係者が貴社に危害を加えようとした場合、何を標的とし、どのような損害を与えることができるか」です。保護すべき重要な資産と、それが漏洩した場合の組織の損失や損害に対する許容範囲を明確にします。

そして、そのような脅威を防ぐために、重要資産が盗まれたり、被害を受けたりする前に、どのような振る舞いの前兆を検出し、会社の部門全体で食い止めることができるのかを自ら問う必要があります。

どのような振る舞いを検知すべきでしょうか?

例としては、以下のようなものがあります。

  • 大量のダウンロードや印刷など、コンピューティングリソースの不正使用
  • 反発的な職場における振る舞いの人事報告書
  • 従業員に対する司法調査情報

最も重要なことは、異なる部門からの相対的な兆候を関連付けることで、組織にとって最も高いリスクに関する傾向を把握することができるようにすることです。

 

Vectra Cognito は、人工知能を使用してキルチェーン全体の攻撃者の行動を検出するネットワーク検出および対応プラットフォームです。コマンド&コントロール(C&C)、偵察などです。デモをご覧になりたい方は、こちらからお問い合わせください。 

About the author

Joe Malenfant

Joe Malenfant is the Vice President of Product Marketing at Vectra. Joe and his team are responsible for creating differentiated position for Vectra’s solutions, providing clarity to prospects, customers, and partners. Joe has spent over 10 years driving innovation in cyber security including endpoint detection and response, industrial control systems (ICS), IoT, and network security. He has launched category defining products from pure play SaaS to hardware solutions for IT, IoT, and ICS environments. He regularly presents at industry conference including RSA, Cisco Live, and IIoT World.

Prior to Vectra, he led marketing for Cisco’s Internet of Things business, a $1B portfolio spanning over 5 product segments including cloud, networking, and security. Prior to joining Cisco in 2014 he led product and solutions marketing Lockheed Martin Commercial cyber security solutions through the acquisition of ICS security company, Industrial Defender. Joe holds an MBA from Johnson & Wales in Providence, RI and an undergraduate degree from Concordia University in Montreal, Canada.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

5 Biggest AWS Cloud Security Threats to Your Organization

August 18, 2021
Read blog post
Breach

Hacker Claims to Have Breached T-Mobile

August 16, 2021
Read blog post

Securing AWS Cloud: How the Pros Are Doing It

August 4, 2021
Read blog post