目次
インサイダーの脅威とは何か?
内部脅威とは、組織内部から発生するセキュリティリスクである。脅威の主体は、必ずしも組織の現従業員や役員とは限らない。インサイダーの脅威者は、コンサルタント、元従業員、ビジネス・パートナー、役員である可能性がある。
内部脅威にはさまざまな種類があり、それぞれが標的となる組織に与える影響も異なります。この記事では、実際の内部脅威の主な事例を検証し、組織を保護するのに役立つさまざまなテクニックやテクノロジーについて説明します。
推薦図書:セキュリティ・ビッグデータ分析:過去、現在、未来
インサイダーの脅威の例
ウェイモ
ウェイモは自律走行車の開発を専門とする企業で、もともとはグーグルが設立した。2016年、リードエンジニアだったアンソニー・レバンドウスキーがウェイモを退社。彼はOttoと呼ばれる独自の自動運転車会社を立ち上げた。
オットーがサービスを開始してから数カ月後、ウーバーが同社を買収した。Uberが手に入れたのは主に企業秘密で、レバンドウスキーはグーグルから盗んだ。盗まれた情報のなかには、マーケティング情報やテストドライブのビデオも含まれており、その他のファイルには、機密PDF、ソースコードの断片、さらにはシミュレーション、LIDAR(Light Identification Detection and Ranging)技術、レーダーの図面や図面まで含まれていた。
調査の結果、レバンドウスキーはグーグル在職中に不満を抱いており、その行動は計画的なものであったことが判明した。2015年、レバンドウスキーはグーグルを辞めることを話し始めた。彼はまた同僚を勧誘し、自分のスタートアップで働かないかと誘った。ウーバーがオットーの買収を始めたとき、グーグル幹部は真実を知った。
レバンドウスキーが辞任する約1カ月前、彼はノートパソコンを重要なサーバーに接続していた。このサーバーにはグーグルの知的財産が保存されていた。レバンドウスキーは約14,000のファイルをダウンロードし、外付けドライブにコピーした。自分の行動の痕跡を消すため、彼はすべてを削除した。
ウェイモは2009年から2015年にかけて、技術開発に11億ドルを費やした。結局、ウェイモは企業秘密が盗まれたことを証明した。彼らは窃盗の補償として、ウーバー株2億4500万ドルを受け取った。さらにウーバーは、盗まれた企業秘密をウーバーのハードウェアとソフトウェアに使用しないことに同意した。
マリシャス・インサイダーについての詳しい解説をお読みください。
キャピタル・ワン
キャピタル・ワンは銀行持株会社である。彼らはまた、サードパーティ・ベンダーに起因する内部脅威にも直面していた。情報漏洩当時、キャピタル・ワンはアマゾン・ウェブ・サービス(AWS)のクラウド・サービスを利用していた。AWSの元ソフトウェア・エンジニアが発見した脆弱性を利用してCapital Oneにハッキングした。
ハッカーはウェブ・アプリケーション・ファイアウォールの設定ミスを発見し、それを使って1億人以上のキャピタル・ワン顧客の口座とクレジットカード・アプリケーションにアクセスした。結局、同社はこの脆弱性にパッチを当て、「クレジットカードの口座番号やログイン情報は漏洩していない」と発表した。
キャピタル・ワンのデータにアクセスしたハッカーは、自分の成果を自慢した。彼女はハッキングのテクニックをオンラインチャットサービスのSlackで同僚と共有した。また、実名でGitHubに情報を公開し、ソーシャルメディアで自慢した。
心理学者はこの種の内部脅威行動を「リーク」と呼んでいる。内部脅威者が自分の計画や行動を漏らすからだ。結局、ハッカーは逮捕された。彼女はコンピューター詐欺と不正使用の罪で起訴された。残念なことに、キャピタル・ワンはこの情報漏洩のコストを1億5000万ドルに達すると見積もっている。
ボーイング
ボーイング社は、最も長い内部脅威攻撃を経験したベテラン航空宇宙企業である。1979年からインサイダー脅威が摘発される2006年までの数十年間、犯人はボーイングとロックウェルから情報を盗み出した。
この場合、内部脅威者はボーイングの従業員であった。しかし、この行為者の本当の雇い主は中国の諜報機関であり、中国の宇宙事業の改善に役立つ情報を得ることを彼に課していた。
インサイダー脅威は宇宙プログラムに関するデータに加えて、軍事製造情報も盗んだ。盗難の範囲は現在も不明である。
インサイダー脅威の検知に関する詳細な解説をお読みください。
インサイダー脅威対策
データ消去の自動化
内部脅威による攻撃を防ぐために、組織は、従業員が退職した時点で開始される自動データ消去を導入すべきである。通常、元従業員のActive Directoryは退職時に削除される。しかし、すべての組織が、従業員が自分のデバイスに保存したデータを消去することを覚えているわけではありません。
従業員は自分のデバイス上のデータを使って、組織のリソースにアクセスしたり、ビジネスクリティカルな情報や企業秘密を利用したりすることができる。このプロセスを手動で行うことは可能ですが、時間がかかるため、その間に内部脅威の攻撃が発生する可能性があります。データ消去プロセスを自動化することで、内部脅威が企業データにアクセスできないようにすることができます。
部局間協力
従業員がそれぞれの役割と責任を果たすために必要な以上の権限を与えられていないことを確認するために、組織内のさまざまな部門が協力する必要がある。人事部門、IT部門、セキュリティ部門は、組織全体の権限を評価し、決定するために定期的に会合を持つべきである。
こうすることで、従業員が退職した場合、人事はITチームとセキュリティチームに通知することができ、セキュリティチームは直ちに権限を剥奪することができる。人事部はまた、解雇、業績評価中の従業員、解雇通知を提出した従業員についてもIT部門に知らせることができる。これによりIT部門は、内部脅威となるリスクが高い、微妙な状況にある従業員を注意深く監視することができる。
監査、モニタリング、アラート
組織の可視性が高ければ高いほど、内部脅威による搾取からデータとリソースを保護するための体制が整う。継続的な監視と監査のためのプラクティスとツールを導入し、リアルタイムのアラートメカニズムを追加することで、組織は活動を監督し、それが侵害に発展する前に疑わしい行動について知ることができる。
監視システムは、ユーザーの行動を分析し、疑わしい行動を特定し、管理者に警告したり、対応プロセスを開始したりすることができる。継続的かつプロアクティブな監査は、組織がデータをどのように使用しているかを確実に把握し、リスクが拡大する前に必要に応じて変更を実施するのに役立ちます。
内部脅威の指標についての詳細な説明をお読みください。
意識向上トレーニングの実施
すべての内部脅威が悪意を持っているわけではありません。実際、従業員の不注意や不勉強が原因で侵入される組織も多い。このような内部脅威は、悪意のある行為者に騙されることも多いが、仕向けられることなく脆弱性を作り出すこともある。
例えば、従業員が未知のソースからファイルをダウンロードすると、意図せずに脆弱性をもたらす可能性がある。すべての組織が適切なセキュリティ行動に関するポリシーを定めているわけではなく、従業員はその脅威を認識していない。
セキュリティ意識向上トレーニングを実施することで、従業員が知らず知らずのうちにインサイダーの脅威にさらされることを防ぐことができる。従業員が知識を深めれば深めるほど、組織のデータや資産を保護する能力が向上する。そして、セキュリティは文化的かつ協力的な取り組みとなり、従業員は、リスクが侵害に拡大する前に、フィッシング詐欺のような脆弱性を特定することもできるようになる。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、インサイダーの脅威からよりよく守るためのヒントを紹介しよう:
AIを活用した行動分析で異常を早期発見
基本的な監視にとどまらず、ユーザーの行動から継続的に学習するAIを搭載したソリューションに投資しましょう。これらのソリューションは、日常的な行動の微妙な変化を発見し、潜在的な脅威が侵害に至る前にフラグを立てることができます。
ジャスト・イン・タイム・アクセス制御の導入
機密性の高いリソースへの永続的なアクセス権を与えるのではなく、ジャスト・イン・タイムのアクセス権を採用する。これにより、インサイダーによる長期的な不正利用のリスクを低減することができる。
早期発見のためのディセプション技術の活用
ハニーポットや欺瞞システムを導入し、悪意のある内部関係者を罠にかける。価値の高い場所におとり資産を置くことで、機密データにアクセスしようとする内部の脅威を特定することができます。
SIEMで人事データと行動データを関連付ける
人事データをSIEMツールと統合することで、従業員の感情(降格、否定的な業績評価など)と異常な行動パターンを相関させ、内部脅威に対する早期警告を提供することができます。
機密データを知る必要性に応じてセグメント化する
厳密なデータ区分ポリシーを採用し、機密データへのアクセスを役割、プロジェクト、業務上の必要性に基づいて制限する。これにより、内部関係者が不正にアクセスした場合のリスクを最小限に抑えることができます。
特権アカウントのユーザー行動ベースライン化の実施
ユーザの行動を定期的に監視することは重要ですが、特権アカウントは最大のリスクとなります。特権アカウントに対してより厳格なベースライニングを実施し、異常な行動を迅速に特定する。
Exabeamによるインサイダー脅威対策
Exabeamは、導入と利用が容易で、ガートナー社のSIEMモデル改訂に準拠した高度な機能を備えたSIEMプラットフォームです:
- Advanced Analyticsおよびフォレンジック分析-機械学習に基づく行動分析による脅威の識別、疑わしい個人を識別するためのピアおよびエンティティの動的なグループ化、および横方向の動きの検出。
- データ探索報告および保持- 最新のデータレイク・テクノロジーを活用し、セキュリティ・アナリストが必要なログをすばやく見つけられるよう、コンテキストを考慮したログ解析機能を備えています。
- 脅威ハンティング -アナリストが能動的に脅威を探し出せるようにします。ポイント・アンド・クリックの脅威ハンティング・インターフェースを提供し、SQLやNLPの処理を必要とせず、自然言語を使用してルールやクエリを構築することが可能です。
- インシデント・レスポンスとSOCの自動化 -インシデント・レスポンスへの一元的なアプローチで、何百ものツールからデータを収集し、セキュリティ・プレイブックを介して、さまざまなタイプのインシデントへの対応を編成します。Exabeamは、調査、封じ込め、緩和のワークフローを自動化します。
エクサビームのユーザー・エンティティ行動分析(UEBA)ソリューションは、組織内の異常な行動や横の動きを検出します。攻撃のタイムラインを自動的に作成するため、複数のシステムやユーザーアカウントにまたがって活動する内部関係者をより簡単かつ迅速に検出することができます。
Exabeamについてもっと知る
ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。
