インサイダー脅威プログラム：勝ち組プログラム構築のための8つのヒント

内部脅威プログラムとは何か？

インサイダー脅威プログラムとは、特権的な情報やアクセスを利用する潜在的な脆弱性を組織が特定できるように設計された戦略である。理想的には、このようなプログラムは、怒った従業員や悪意のある従業員、漏洩した認証情報を持つ攻撃者、あるいは人為的ミスによって悪用される可能性のある権限や資産へのアクセスを発見し、是正するのに役立つ。

これらのプログラムをうまく導入すれば、システムの侵害や漏洩の可能性を大幅に減らすことができる。これは、組織が多額の費用を節約し、ブランドの評判や顧客の信頼を失うのを避けるのに役立つ。Ponemon Instituteによる最近の内部脅威に関する調査によると、これらのプログラムは、罰金、是正措置、または収益の損失に費やされるはずの費用を、平均で約1,150万ドル削減できるという。

独自の内部脅威プログラムを構築するための8つのヒント

インサイダー脅威プログラムをまだ導入していないのであれば、今こそ作成に着手する時です。これらのヒントは、計画が包括的で、効果的に実施できることを確認するのに役立ちます。

1.企画チームを結成する

効果的なプログラムを作成する前に、業務、目標、脆弱性に関する知識を結集できるチームを編成する必要がある。このチームには、セキュリティ、IT、法務、人事、経営幹部の代表者を含める必要がある。このチームがあれば、十分な情報を得た上で方針を決定し、規制、方針、法的ガイドラインの範囲内で実行可能な手順を作成することができる。

2.重要資産の決定

チームを編成したら、資産のマップを作成し、脅威の優先順位を決定する必要がある。これには、社内文書、キーカード、製品プロトタイプ、従業員データなど、仮想資産と物理資産の両方が含まれる。プログラムは、最も機密性の高い資産に最も高いカバレッジを割く一方で、優先順位の低い資産も考慮する必要があります。

どの情報やアクセスが重要かを判断するには、プランニング・チームに頼ることができる。事業部門全体からメンバーを選ぶことで、自社が持っているものと、他者が求めていそうなものを幅広く把握することができる。

3.脅威リスク評価の実施

運用の現状とコンプライアンスを評価することで、対処が必要な既存のセキュリティギャップを特定することができる。これは、既知のベンチマークに対するシステム構成の監査、確立されたポリシーに従った設定の確認、またはツールの有効性を確認するための侵入テストの実施などを意味する。

特に、許可されたユーザーからの脅威を検知する能力という観点から、システムと保護機能を評価する必要があります。これは、突然大量のデータにアクセスしたりコピーしたりするような不審な行動パターンを特定する能力をテストすることを意味する。

4.従業員の身元調査の実施

脅威のリスクを知るためには、自分のチームに誰がいるのかを認識することが重要だ。一つの方法は、経歴調査だ。過去に企業による不正行為で解雇されたことのある人物がいれば、そのことを知り、その人物を避けたいと思うだろう。同様に、金銭的に大きな問題を抱えている人がいれば、その人がリスクになる可能性がある。

この情報を慎重に扱い、公正に適用しなければならない。身辺調査は確実なものではなく、誤った情報が判明することもある。さらに、チェックはその人のすべてを語ることはできず、労働者は、労働能力に影響しない私生活上の過去の出来事について罰せられるべきではありません。

5.情報セキュリティ管理の実施と維持

データに対する最も強力な保護のひとつは、内部関係者であってもアクセスを制限できることです。ユーザーには、業務遂行に必要なデータへのアクセス権のみを与えるべきです。一時的に追加アクセスが必要な場合は、必要に応じて提供することができます。

アクセスポリシーや暗号化によってデータへのアクセスを制限することで、従業員が権限を悪用する機会を減らすことができます。また、攻撃者が漏洩した認証情報を入手した場合に引き起こす可能性のある損害の量も減らすことができます。

6.内部脅威ユースケースの構築

ユースケースは、プログラム手順を実施すべき場合のガイドラインである。例えば、ユーザが未承認のクラウドストレージを使用している場合や、アクセス制限を要求している場合などです。最も一般的に想定される問題に対するユースケースを作成することで、セキュリティチームが潜在的な脅威を確実に監視し、脆弱性を解決するためのアクションを実行できるようになります。

これらのユースケースには、保護的モニタリング（従業員の退職や解雇に伴うセキュリティ強化）の手順も含まれるべきである。これらは、インサイダーの脅威が最大になる可能性がある時であり、慎重に対処すべきである。この種のモニタリングは、コンプライアンスや業界のベストプラクティスの要件であることが多い。

7.内部脅威ツールの試用、評価、選定

既に必要なセキュリティ・ツールをすべて持っている場合もあれば、ツールが不足していることに気付くかもしれない。後者の場合は、ギャップを埋めるツールの評価を開始する必要がある。一般的には、より包括的な監視ツールの採用を意味する。特に、行動分析機能を備えたものが望ましい。

ユーザーの行動をエンド・ツー・エンドで追跡し、リアルタイムで可視化できるツールを優先すべきです。さらに、可能であれば、監視、ロギング、調査、アラート機能を組み込んで、運用を一元化できるツールを探しましょう。この一元化により、システム状況をより詳細に分析でき、不審な活動を早期に発見できる可能性が高まります。

8.内部脅威プログラムの見直し

プログラムの一環として、ツール、権限、手順の定期的な監査を組み込むべきである。システム、人員、脅威は動的なものであり、必要に応じて変化に対応できるようにする必要がある。

監査時には、時代遅れの部分や脆弱な部分に注意し、それに応じてプログラムを適応させる。さらに、インシデントが発生した場合は、インシデント対応ワークフローからのフィードバックを適用して、現在のプログラムを改善するようにしてください。インシデント発生後に手順を更新しないことは、脅威の再発を招くことになります。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、強固な内部脅威プログラムを確立するのに役立つヒントを紹介しよう：

行動ベースラインを使用して異常を検出する
従業員の典型的な行動を学習するUser and Entity Behavior Analytics（UEBA）ツールを導入する。このベースラインによって、通常とは異なるファイルへのアクセスや変則的な時間帯のログインなど、微妙な逸脱を検出し、潜在的な内部脅威のフラグを立てることができます。

リスクの高いアクティビティに対するリアルタイムアラートの開発
データの流出、権限の昇格、未承認デバイスの使用などのアクティビティに対して、リアルタイムのアラートを設定します。アラートを自動化することで、深刻な被害が発生する前に迅速な対応が可能になります。

オフボーディングのための監視強化
インサイダー脅威のリスクは、離職時や従業員が職務から移行する時期に最も高くなります。このような時期には監視を強化し、解雇時には直ちにアクセス権を剥奪する。

内部脅威ツールとSOARを統合して対応を自動化
Security Orchestration, Automation, and Response（SOAR）ツールを使用して、インシデント対応ワークフローを合理化します。疑わしい行動に対する封じ込めアクション（アカウントの無効化やアクセス制限など）を自動化することで、被害をリアルタイムで最小限に抑えることができます。

インサイダー・リスクを低減するための積極的な職場文化の醸成
悪質なインサイダー脅威の可能性を減らすために、オープンで透明性の高い職場風土を奨励する。個人的または経済的なストレスを感じている従業員へのサポートを提供し、疑わしい活動を報告するための内部告発チャネルを促進する。

特定の役割に対する内部脅威ユースケースの確立
必要とされるアクセスに基づき、職務ごとの具体的なユースケースを策定する。例えば、管理部門のユーザーとマーケティング部門のユーザーとで、機密データの管理方法がどのように異なるかを追跡し、それに応じて行動の逸脱にフラグを立てる。

内部脅威プログラムの高度なベストプラクティス

内部脅威プログラムを作成し、監査する際には、以下のベストプラクティスを検討してください。以下のベストプラクティスは、貴社のニーズに合ったプログラムを作成し、スタッフの生産性を向上させるのに役立ちます。

用語と文化を一致させる

プログラムで使用する用語は、あなたを従業員の味方として仕立てたり、あるいは私たち対彼らの環境を作り出したりする可能性があります。このような事態を避けるため、プログラムのラベルの付け方や、目標や手順の枠組みには注意が必要です。例えば、「インサイダー脅威プログラム」と呼ぶよりも、「従業員保護プログラム」と呼んだ方がいいかもしれません。

中立的または友好的な用語を使うことで、従業員に対する好意を示し、恨みを買うのを避けることができる。また、協力的な言葉を使うことで、従業員を資産セキュリティの維持に向けた取り組みに引き込むこともできる。従業員があなたの目標の重要な一部であると感じれば、責任を共有しやすくなるかもしれない。

透明性を保ち、信頼を築く

使用する言葉にも関連しますが、従業員にプログラムを実施する理由とその意図を理解してもらう必要があります。これは、プログラムが何を監視しているのか、そしてその理由を説明することを意味する。システムがどのように監視されているかを詳細に説明する必要はありませんが、ハイレベルな情報を隠すべきではありません。

従業員は、監視が行われていることを知り、個人的に標的にされていると感じなければ、組織を信頼し、評価する可能性が高まります。これにより、悪意ある活動の可能性が減少し、従業員が不審な活動を報告する可能性が高まります。

自動モニタリングに注力

システムを手動で監視しても、資産の安全確保に必要な範囲や深さは得られません。これを解決するのが、自動化されたモニタリングです。自動化されたモニタリングは、システム全体からの情報の処理と分析を支援し、セキュリティ・チームが脅威の修正と予防に集中できるようにします。

Exabeamによるインサイダー脅威対策

内部からの脅威からビジネスを保護することは、外部からの脅威に焦点を当てた従来のサイバーセキュリティ対策と同様に重要です。しかし、内部からの脅威は、アンチウイルスやファイアウォールでブロックできないため、組織外からの脅威よりも検出がはるかに困難な場合が多くあります。

脅威の解決策という点では、エクサビームは、SOARやUEBAといったセキュリティ・ツールを提供しており、悪意を示す可能性のある従業員の不審な行動を認識することができる。