インサイダー脅威の指標内部の敵を見つける

組織は機密データや情報の保護に努めている。多くの組織は、サイバー防御対策に多くのリソースを割り当て、サイバー攻撃から身を守るためにセキュリティ・オペレーション・センター（SOC）を設立している。

サイバー攻撃は企業にとって脅威ですが、検知の難しい内部脅威ほど一般的ではなく、場合によっては危険でもありません。この記事では、インサイダーの脅威とは何か、その検知に役立つ指標、インサイダーの脅威から保護するための最適なツールなど、インサイダーの脅威に関する情報を提供します。

推薦図書：セキュリティ・ビッグデータ分析：過去、現在、未来​

内部脅威とは何か？

内部脅威とは、組織を標的とし、組織に雇用されている人間によって実行される悪意のある活動のことである。これらのシナリオにおける容疑者は、通常、データベースやアプリケーションを含む組織のネットワークにアクセスできる従業員や請負業者です。

内部脅威の種類

会社に雇用されている個人がインサイダーの脅威となるには、いくつかの方法がある：

• 悪意のある内部関係者-アクセス権や資格情報を悪用し、悪意ある活動を行う個人で、通常、金銭的・個人的利益のために情報を盗むという形をとる
• 不注意な内部者-無意識のうちに、あるいは誤って脆弱性を作り出し、システムやネットワークを外部の脅威にさらす者。これは、誤解を招くリンクをクリックしたり、機密情報を含むフラッシュ・ドライブを忘れたりすることで、意図せず誰にでも起こりうるため、最も一般的な内部脅威です。
• 侵害された内部者-従業員、請負業者、パートナーなど、正当なアクセス権を持つユーザーを装って内部アクセス権を獲得した外部者。これには企業スパイも含まれる。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、インサイダーの脅威をより的確に検知・管理するためのヒントを紹介しよう：

長期にわたる行動の追跡
インサイダーの脅威は、多くの場合、数ヶ月から数年にわたって展開されます。UEBAを使用して長期的な行動プロファイルを作成し、機密システムへのアクセスを徐々に増やしたり、大量のデータを定期的にコピーしたりするなど、通常の活動から徐々に逸脱していることを探します。

UEBAをSIEMと組み合わせてコンテキストを強化
UEBAをSIEMと併用することで、セキュリティインフラからのリアルタイムアラートで行動データを強化することができます。これにより、特権の昇格や予期せぬデータ転送のような通常とは異なるアクティビティに対してより深いコンテキストを提供し、内部脅威の早期発見を支援します。

ユーザーアクセス制御の定期的な更新
従業員が現在の役割に必要なアクセス権しか持たないように、ユーザーアクセス権を頻繁に見直し、更新する。内部脅威リスクを最小化するため、従業員が退職したり部署が変わったりした場合は、速やかにアクセス権を削除する。

内部インシデントへの自動対応のためのSOARの導入
Security Orchestration, Automation, and Response（SOAR）ツールを導入して、一般的な内部脅威指標への対応を自動化する。例えば、異常なデータ転送やアクセスパターンが検出された場合に自動ワークフローを起動し、対応が遅れるリスクを低減することができます。

データ流出をリアルタイムで警告するDLPの導入
特にリムーバブルストレージデバイスや外部クラウドプラットフォームへの異常なデータ移動を検出するために、リアルタイム監視機能を備えたデータ損失防止（DLP）ツールを使用します。これにより、内部関係者によるデータ窃取の可能性を即座に警告することができます。

内部脅威の指標の例

不審な行動を示すシステムやネットワーク・レベルでの不規則な行動は、すべて内部脅威となる。インサイダー脅威の指標は数多くあり、そのシグナルを認識し、従業員を追跡する方法を知ることは、インサイダー脅威防止の主要な部分である。例えば、以下のようなものがある：

• 業績評価の低下-従業員の業績評価が突然低下し始めた場合、仕事への関心や会社への忠誠心を失った従業員が不満を抱いている兆候かもしれない。一方、業績評価が悪いと、従業員が腹を立て、会社に対して「仕返し」をしようと、自分のアクセス権を悪用して組織の運営を妨害することもある。
• 方針の不一致-会社の方針への不同意を声高に表明する従業員は、インサイダー脅威となる可能性がある。これは通常、従業員が会社に対して、自分たちが望む方針の変更を促すために行動を起こすことを決意した場合に起こります。
• 不満のある従業員-同僚や上司と口論や衝突が多い従業員は、組織に損害を与える可能性のある方法で不満を爆発させる可能性がある。不満を持つ従業員を発見する方法としては、業績の低下、いつもよりミスが多い、締め切りに間に合わない、遅刻が多いなどがあります。
• 経済的苦境-経済的な理由で追い詰められた従業員は、常にプレッシャーにさらされている。彼らは外部の人間に容易に利用される可能性がある。貴重なデータを外部に売却することは、彼らの負債を管理する試みとなり得る。
• 不審な金銭的利益-新車など、自分の給与水準で買えるはずのものよりも高額と思われる大きな買い物をし始めた社員は、心配の種となり得る。会社の情報を売買して利益を得ていないか、注意深く見守る必要がある。
• 変則的な勤務時間-夜中など、勤務時間外の不審な時間にネットワークにサインインする従業員は、悪意を隠そうとしている可能性がある。
• 異常な海外出張-突然、他の国や都市に何度も出張するようになった従業員は、企業スパイに関与している可能性がある。このような従業員は、他の企業から情報を盗むために、他の組織（産業界や政府機関）に密かに雇われている可能性があるため、しばしば「モグラ」と呼ばれます。
• 退社-退社する者は、インサイダー脅威の潜在的リスクとなる。そのような人物の過去のネットワーク活動を調べ、どのような形であれアクセス権を乱用していないことを確認するのが良い方法です。
• 過度に熱心な従業員-過度に熱心な従業員は、秘密の意図のもとに行動している可能性があり、データへのアクセスを拡大するために自分の価値を証明しようとし、データを悪用しようとする。

内部脅威検知ソリューション

インサイダーの脅威は、従来の外部からの脅威よりもとらえどころがなく、検知や防止が難しい。会社のネットワークにアクセスしようとする無許可の第三者は、多くの警告を発するかもしれない。しかし、攻撃者がアクセスしようとしたのと同じ情報を販売する元従業員であれば、何の問題も生じない。これが、多くの内部脅威が悪意を実行する前に検知されない理由である。

最も一般的な内部脅威は、悪意によるものではなく、被害も意図的なものではありません。この種の脅威に対処するためには、特定のセキュリティ・ソリューションとポリシーを適用する必要がある。例えば、ユーザーのアクセスや行動を可視化することは、インサイダーの脅威を検知し、防御するための良い方法である。

内部脅威の指標を検出するためにUEBAを使用する

ユーザーとエンティティの行動分析（UEBA）は、コンピュータとユーザーの行動から収集されたデータを追跡、収集、分析します。UEBAは、正常な行動と疑わしい行動を区別するためにいくつかのテクニックを使用します。

このタスクを実行するために、UEBAソリューションは学習期間を必要とする。UEBAは通常の行動パターンを学習した後、これらのガイドラインに適合しない不審な行動にフラグを立てることができます。UEBAソリューションは、不規則なオンライン行動、異常なアクセス行動、クレデンシャルの乱用、大量のデータのアップロードやダウンロードなど、内部脅威を示す可能性のある不審な行動を検出することができます。

​UEBAの最も重要な機能は、悪意の結果である可能性のある不審な行動を検出し、重大な損害を引き起こす前に、それを実行する個人を内部脅威としてフラグを立てる能力である。

内部脅威の指標を検出するためのSOARの使用

セキュリティ・オーケストレーション・オートメーション・レスポンス（SOAR）ツールは、組織が複数のソースから生成されるセキュリティ脅威に関するデータとアラートを収集できるように設計されたサイバーセキュリティ・ソリューションである。

多くの組織では、セキュリティ・オペレーション・センター（SOC）内でSOARソリューションを使用し、セキュリティ情報・イベント管理（SIEM）などの他のセキュリティ・ツールを補強している。SOCはSOARの自動化された機能を使用することで、より迅速かつ効率的に脅威に対処し、さらにスタッフの作業負荷を軽減し、セキュリティ・インシデント対応プロセスを標準化することができます。

SOARはSOCアナリストの意思決定を支援し、すべての情報をグループ化します。SOARは、システムに作成された複数のユーザーのような疑わしい活動を検出し、SOCのアナリストがこれらのユーザーに対してどのように行動するかを決定することができます。さらに、SOARは、自動化されたワークフローを実行し、脅威を封じ込め、緩和するためのさまざまなアクションを実行するために使用できるプレイブックをSOCアナリストに提供します。これらの機能は、重大な損害を引き起こす可能性を低減します。

結論

内部からの脅威からビジネスを保護することは、外部からの脅威に焦点を当てた従来のサイバーセキュリティ対策と同様に重要です。しかし、インサイダーの脅威は、アンチウイルスやファイアウォールでブロックできない組織外部からの脅威よりも、検出がはるかに困難な場合が多い。内部脅威の指標を探すことで、先手を打ち、組織が直面する最大の脅威の1つに対応することができます。

脅威の解決策という点では、エクサビームは、SIEM、UEBA、SOAR などの機能を提供し、悪意を示す可能性のある従業員の不審な行動を認識するのに役立ちます。Exabeam のソリューションの詳細については、より優れたセキュリティ戦略を策定し、内部および外部のさまざまな脅威から環境とシステムを保護する方法をご覧ください。