コンテンツへスキップ

AIは2026年のサイバーセキュリティ予算の伸びを牽引するが、その価値を証明することが真の課題である--。レポートを入手する

デモを見る

インサイダーの脅威:2025年における内部脅威の種類、事例、防御戦略

  • 9 minutes to read

目次

    内部脅威とは何か?

    内部脅威とは、組織のネットワーク、アプリケーション、データベースに合法的にアクセスできるユーザーから発生する、組織に対する悪意のある活動のことです。これらのユーザは、組織の物理的またはデジタル資産にアクセスできる現従業員、元従業員、またはパートナー、請負業者、派遣労働者などの第三者である可能性があります。また、侵害されたサービス・アカウントの形で現れることもある。この用語は、不正または悪意のある活動を説明するために最も一般的に使用されますが、意図せずにビジネスに害を及ぼすユーザーを指すこともあります。

    インサイダーはなぜ悪さをするのか?悪意のあるインサイダーの動機はさまざまで、多くの場合、侵害やデータ流出は金銭的な動機によるものです。しかし、スパイ活動や報復、従業員への恨みからインシデントが発生することもあれば、セキュリティ衛生の不備や無施錠・盗難アクセスなどの不注意からインシデントが発生することもあります。インサイダーの脅威は、ヘルスケア、金融セクター、政府機関など、一部の業界では一般的ですが、どの企業でも情報セキュリティを危険にさらす可能性があります。

    推薦図書:セキュリティ・ビッグデータ分析:過去、現在、未来

    内部脅威の種類

    悪意のあるインサイダー

    A malicious insider is someone who deliberately seeks to cause harm to an organization. This individual typically has authorized access and misuses it to steal sensitive data, sabotage systems, or otherwise disrupt operations. Motivations can include financial gain, ideological beliefs, revenge, or coercion. Malicious insiders often plan their actions in advance and may evade detection by using their knowledge of internal systems and controls.

    怠慢なインサイダー

    Negligent insiders do not intend to cause harm but do so through careless or uninformed behavior. Examples include falling for phishing attacks, misconfiguring systems, or sending sensitive data to the wrong recipients. These users often ignore security protocols or underestimate the risks of their actions, making them a frequent source of data leaks and compliance violations.

    侵害されたインサイダー

    A compromised insider is a legitimate user whose credentials or access rights have been hijacked by an external attacker. This can happen through phishing, malware, or credential stuffing. Because the attacker uses valid credentials, their actions can be difficult to detect. Compromised insiders are especially dangerous because they often appear to be acting within their normal scope of activity.

    インサイダーの脅威が主導権を握る:組織はなぜ後れを取るのか

    According to the report from Exabeam, From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk, insider risks have now surpassed external threats as the leading concern for security teams. In our survey, 64% of cybersecurity professionals identified malicious or compromised insiders as a greater danger than outside attackers, compared to 36% who pointed to external actors. 

    Within that 64%, 42% saw malicious insiders as the primary concern, and 22% cited compromised insiders. Over half (53%) reported insider incidents had increased in the past year, and 54% expect them to rise further in the next 12 months.

    Detection capabilities remain underdeveloped. Only 44% of organizations are using user and entity behavior analytics (UEBA), which are critical for detecting abnormal activity. Although 88% say they have an insider threat program, many are informal, underfunded, or lack visibility across systems. Leadership alignment is also a gap: 74% of security professionals believe executives underestimate insider risk.

    Generative AI is accelerating the problem. 76% of organizations have seen unauthorized use of GenAI tools by employees. AI-enhanced phishing and social engineering (27%) and unauthorized GenAI usage (22%) rank among the top insider threat vectors, alongside privilege misuse (18%). 

    Security leaders acknowledge the need for better behavioral insight, but face technical and organizational roadblocks. Privacy resistance (20%), lack of visibility (16%), and fragmented tools (10%) create blind spots in detection efforts.Learn more by downloading Exabeam’s research report “From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk.”

    内部脅威の例

    Rippling

    In March 2025, Rippling filed a lawsuit against rival company Deel, alleging a serious insider threat incident. The company accused Deel of placing a spy inside Rippling’s workforce under the guise of a Global Payroll Compliance Manager. Hired in 2023, the individual allegedly spent four months accessing confidential data through legitimate channels, including Slack, Salesforce, and Google Drive.

    The data reportedly stolen included pricing strategies, customer lists, internal employee data, and competitive insights. The insider’s activity went undetected for months, raising concerns about the lack of real-time monitoring and behavioral analysis. Rippling argued that earlier detection might have been possible with tools that track abnormal access patterns or keyword searches related to competitors.

    Verizon

    In a September 2023 incident reported in early 2024, a Verizon employee accessed a file containing sensitive personal data of more than 63,000 individuals without proper authorization. The information exposed included names, addresses, Social Security numbers, compensation data, and union affiliations. Verizon confirmed the data breach to the Office of the Maine Attorney General and attributed it to unauthorized access rather than an external compromise.

    While the company stated that the action did not appear to be malicious and did not involve law enforcement, the breach raised serious concerns. The incident highlighted how even non-malicious misuse of access can result in significant data exposure. It also underscored the importance of enforcing strict access controls and monitoring internal data usage, regardless of perceived intent.

    ヤフー

    2022年5月、ヤフーは内部脅威による攻撃を受けた。同社のリサーチ・サイエンティストであったQian Sangは、The Trade Deskという競合他社から仕事のオファーを受けた。その数分後、SangはヤフーのAdLearn製品に関する情報を含むヤフーの知的財産約57万ページを個人所有のデバイスにダウンロードした。

    ヤフーは、笙がトレードデスクの競合分析を含む企業データを盗んだことに気づくのに数週間を要した。ヤフーは笙に営業停止命令書を送り、笙の行為がヤフーの企業秘密の独占的管理を剥奪したとして、知的財産データの窃盗を含む3つの告発を行った。

    内部脅威のキルチェーンを理解する

    Let’s see how insider threats happen: methods of compromise, and how insider threats use privilege escalation to do more damage.

    従業員はどのように危険にさらされるのか

    従業員が危険なインサイダーになるには、いくつかの方法がある:

    Pass-the-hash – a more advanced form of credential theft where the hashed – encrypted or digested – authentication credential is intercepted from one computer and used to gain access to other computers on the network. A pass-the-hash attack is very similar in concept to a password theft attack, but it relies on stealing and reusing password hash values rather than the actual plain text password, especially during RDP sessions.

    • フィッシング-個人を特定できる情報(PII)、銀行やクレジットカードの詳細、パスワードなどの機密データを提供するよう誘い出すために、正規の機関を装った人物から電子メールやテキストメッセージで標的の個人と接触するサイバー犯罪。また、フィッシング詐欺の中には、マルウェアをダウンロードさせるためのリンクをクリックさせようとするものもあります。
    • マルウェア感染-悪意のあるソフトウェア(マルウェア)に感染したマシンがコンピュータに侵入するサイバー犯罪。感染した内部関係者の場合、マルウェアの目的は機密情報やユーザー認証情報を盗むことです。マルウェア感染は、リンクをクリックする、ファイルをダウンロードする、感染したUSBを接続するなどの方法で開始されます。
    • クレデンシャル盗難 -標的にした個人のユーザー名とパスワード、つまりクレデンシャルを盗むことを目的としたサイバー犯罪。クレデンシャルの窃盗は様々な方法で行われる。前述のフィッシングやマルウェア感染が一般的です。一部の犯罪者は、ソーシャル・エンジニアリングに関与することがあります。ソーシャル・エンジニアリングとは、個人を騙してクレデンシャルを漏らすように操作することです。IT ヘルプデスクからの偽の電話で、ユーザが攻撃者からユーザ名とパスワードを確認するよう求められるのは、よくある手口です。

    インサイダーの脅威と特権の昇格

    インサイダーは、アクセス権の乱用によって計画を実行することができる。攻撃者は、特権の昇格と呼ばれる、システムやアプリケーションの欠陥を利用して、アクセス権限のないリソースにアクセスすることを試みるかもしれません。

    アクセス権の濫用は、特権的なアクセス権を持つ者がその権力を濫用するという形で起こるケースもある。2008年の歴史的な事件では、サンフランシスコ市政府のシステム管理者が、市のネットワークへのアクセスを遮断し、管理者パスワードの引き渡しを拒否した。この職員は不満を抱いており、職が危うくなっていたことが明らかになった。

    このような複雑な脅威は、未知の脅威であるため、従来の相関ルールでは検出できない。その代わりに、セキュリティ・アナリストは、異常で潜在的に悪意のある活動を特定できるように、ユーザーの通常の活動を理解する必要がある。

    How to find insider threats: key indicators

    組織は、職場やオンライン上のユーザーの行動を観察することで、インサイダーの脅威を発見したり予測したりすることができる。積極的に行動することで、組織は潜在的に悪意のある内部関係者が専有情報を流出させたり、業務を妨害したりする前に捕まえることができるかもしれません。

    内部脅威を特定するために、あなたの組織はどのような行動をとることができるだろうか?

    従業員/請負業者の行動特性組織イベント
    職務外の利益レイオフ
    許可なく異常な時間帯に勤務する年次功労者サイクル - 昇格しない個人
    組織に関する過度の否定的コメント年1回の人事考課-個人は昇給しない
    薬物またはアルコールの乱用業績改善計画の可能性、職場におけるハラスメントの苦情など
    財政難
    ギャンブルの借金
    精神状態の変化業績改善計画の可能性、職場におけるハラスメントの苦情など

    内部脅威のリスクを低減するために留意すべき、従業員または請負業者の行動特性、および組織の出来事。

    内部脅威の可能性を示す不審なセキュリティ・イベントとは?

    行動悪意のあるインサイダー侵害されたインサイダー
    いつもと違う時間に出勤するX
    いつもと違う時間にログインするXX
    いつもと違う場所からのログインX
    初めてシステム/アプリケーションにアクセスするXX
    大量の情報をコピーするXX

    悪意のある、または危険なインサイダーを示唆する行動。

    エキスパートからのアドバイス

    Steve Moore

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、インサイダーの脅威を効果的に管理・軽減するためのヒントを紹介しよう:

    脅威インテリジェンスとSIEMの統合
    リアルタイムの脅威インテリジェンスフィードでSIEMを強化します。これにより、異常なファイルアクセスやデータ転送などの内部者の行動を既知の悪意のあるパターンと関連付けることができ、内部脅威を迅速に特定できます。

    きめ細かなアクセス制御の実施
    役割と責任に基づいてアクセスを制限することで、最小特権の原則を実施する。自動化されたツールを使用して、従業員の役割の変更や退職に応じて権限を調整し、アクセスが必要以上にならないようにする。

    UEBAで異常なユーザー行動を監視
    UEBA(User and Entity Behavior Analytics)は、異常なログイン時間や未承認リソースへのアクセスなど、基本動作からの逸脱を検出することができます。これは、巧妙な内部脅威をエスカレートする前に検知するために非常に重要です。

    機密データに対するデータ損失防止(DLP)の活用
    DLP ツールを導入して、ネットワーク全体、特に USB などの外部デバイスへの機密データの移動を追跡し、制限します。これにより、悪意のある内部関係者による知的財産の不正流出を防ぐことができます。

    リスクの高いアカウントに多要素認証(MFA)を使用する
    機密性の高いシステムや特権アカウントをMFAで保護する。これにより、認証情報を盗まれたり、フィッシングされたりした危険な内部関係者から保護するレイヤーが追加されます。

    定期的なフィッシング・シミュレーションの実施
    フィッシング攻撃のシミュレーションを通じて、従業員がフィッシングの試みを認識できるように訓練する。定期的なシミュレーションとフォローアップ・トレーニングにより、最も一般的な内部脅威の要因の一つであるフィッシングによって従業員が危険にさらされるリスクを低減します。

    インサイダーの脅威に備える4つの方法

    インサイダーの脅威に対抗するために組織ができることはたくさんある。ここでは、重点的に取り組むべき4つの主要分野を紹介する。

    1.従業員を教育する

    フィッシング対策トレーニングを定期的に実施する。最も効果的な手法は、組織がユーザーにフィッシング・メールを送り、そのメールがフィッシングの試みであると認識できないユーザーに対して重点的にトレーニングを行うことである。これにより、危険にさらされた内部関係者となる可能性のある従業員や請負業者の数を減らすことができる。

    組織はまた、同僚の危険な行動を発見し、人事部やITセキュリティに報告するよう従業員を訓練すべきである。不満を持つ従業員に関する匿名のタレコミが、悪質なインサイダーの脅威を食い止めるかもしれない。

    2.ITセキュリティと人事の調整

    レイオフに見舞われたITセキュリティ・チームの話は枚挙にいとまがない。CISOと人事部長が連携することで、ITセキュリティの準備を整えることができる。影響を受ける従業員を監視リストに入れ、その行動を監視するだけでも、多くの脅威を阻止することができます。同様に、昇進を見送られたり、昇給を見送られたりした従業員について、人事がITセキュリティに助言することもできます。データ損失防止(DLP)ツールを、人事部の積極的な考えと意見によって調整することで、自傷行為と事業所に対する不満の両方を早期に警告することができる。

    3.脅威ハンティングチームの構築

    多くの企業が脅威ハンティングの専門チームを抱えている。脅威ハンティングは、インシデントが発見されてから対応するのではなく、プロアクティブなアプローチをとります。ITセキュリティ・チームの専任者は、上記のような兆候を探り、盗難や妨害が発生する前にそれを阻止します。

    4.ユーザー行動分析

    User Behavior Analytics (UBA)は、User and Entity Behavior Analytics (UEBA)とも呼ばれ、組織内の脅威を検出するために、ユーザーやマシンのデータを追跡、収集、分析することです。様々な分析手法を用いて、UEBAは正常な行動と異常な行動を区別する。これは通常、一定期間にわたってデータを収集し、通常のユーザー行動がどのようなものかを理解し、そのパターンに当てはまらない行動にフラグを立てることで行われます。UEBAはしばしば、クレデンシャルの乱用、異常なアクセス・パターン、大量のデータ・アップロードなど、内部脅威の兆候となる異常なオンライン行動を発見することができる。さらに重要なことに、UEBAは、犯罪者が重要なシステムにアクセスするずっと前に、侵害された内部関係者のこれらの異常な行動を発見できることがよくあります。

    情報セキュリティの主要トピックに関するその他のガイドを参照

    コンテンツ・パートナーとともに、私たちは、以下の世界を探検する際にも役立つ、いくつかのトピックに関する詳細なガイドを執筆しています。情報セキュリティ.

     

    ボット保護

    著者:ラドウェア

    ITマッピング

    著者:ファドム

    HIPAAコンプライアンス

    著者:Exabeam

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。