コンテンツへスキップ

Exabeam「ビヘイビア・インテリジェンス」を拡大し、主体性ある企業のセキュリティを確保 —ニュースを読む

インサイダーの脅威:2025年における内部脅威の種類、事例、防御戦略

  • 11 minutes to read

目次

    内部脅威とは何か?

    インサイダー脅威とは、組織内部に起因するセキュリティリスクのことです。これには、現職または元従業員、契約業者、あるいはビジネスパートナーが、悪意や過失、あるいは認証情報の漏洩などを通じて、正当なアクセス権やシステム権限を悪用し、データ、知的財産、または重要なシステムを侵害するケースが含まれます。 インサイダー脅威には、侵害されたサービスアカウントによるものも含まれます。この用語は悪意のある活動を指す場合が最も多いですが、意図せずにビジネスに損害を与えるユーザーも対象となります。

    悪意のある内部関係者による犯行の動機は様々ですが、情報漏洩やデータの持ち出しの多くは金銭的な動機によるものです。 また、インシデントは、スパイ活動、雇用主に対する報復や恨み、あるいはパスワード管理の不備や端末のロック解除・盗難といった単純な不注意に起因する場合もあります。内部者による脅威は、医療、金融、政府機関などの特定の業界でより多く見られますが、どの企業の情報セキュリティも脅かされる可能性があります。

    内部脅威は、一般的に以下の3つのカテゴリーに分類されます:

    • 不注意な内部関係者:インシデントの最も一般的な原因であり、多くの場合、最も大きな損害をもたらす要因です。こうしたユーザーは悪意があるわけではありませんが、不適切なパスワード管理、端末の紛失、あるいは許可されていない生成AIやシャドーITツールに機密情報を入力してしまうことなどにより、データを漏洩させてしまいます。
    • 悪意のある内部関係者:個人的な利益、報復、スパイ活動、あるいは営業秘密の窃取を目的として、意図的にアクセス権を悪用する個人。
    • 侵害された内部関係者:認証情報が悪用された正規のユーザー、あるいはソーシャルエンジニアリングやフィッシングによって騙され、攻撃者に企業ネットワークへのアクセス権を付与してしまったユーザー。

    内部脅威への対策には、行動分析と厳格なアクセス制御を組み合わせます:

    • データ漏洩防止(DLP):機密データのダウンロード、印刷、または個人用アカウントへのメール送信を追跡・制限します。
    • ユーザーおよびエンティティの行動分析(UEBA):従業員の通常の行動パターンを基準として、不自然な時間帯での大容量ファイルのダウンロードなど、突発的で異常な行動を検知する。
    • ゼロトラストと最小権限の原則:ユーザーには必要なデータやシステムへのアクセスのみを許可し、強力な多要素認証(MFA)を徹底する。
    • 従業員教育:セキュリティ対策、特にシャドウAIやフィッシングのリスクについて、スタッフに対して定期的に研修を実施する。

    推薦図書:セキュリティ・ビッグデータ分析:過去、現在、未来


    インサイダー脅威の市場動向を理解する

    組織が、従来の境界ベースのセキュリティツールでは信頼できるユーザーに起因する脅威を阻止できないことを認識するにつれ、内部脅威管理市場は急速に拡大しています。 この市場は、2030年までに30億3000万米ドルから63億2000万米ドルへと拡大し、年平均成長率(CAGR)は15.8%になると予測されています。この成長の背景には、従業員や契約業者による認証情報の悪用、データ盗難、妨害行為、および不正アクセスに対する懸念の高まりがあります。

    導入を加速させている要因はいくつかあります:

    • プライバシー規制の強化、サイバー保険の要件、そして経営陣や取締役会からの関心の高まりを受けて、各組織は内部リスクの監視への投資をさらに拡大している。
    • また、AIを活用した行動分析プラットフォームは、検知精度を向上させると同時に、セキュリティアナリストの業務負担を軽減しています。
    • 同時に、ゼロトラストの取り組みやベンチャー資金の増加により、インサイダー脅威対策プログラムが、規制の厳しい業界以外にも拡大しつつある。

    力強い成長が見られるにもかかわらず、組織はインサイダー脅威対策プログラムを構築する際に、依然としていくつかの課題に直面しています:

    • 大きな課題の一つは、世界的なサイバーセキュリティ人材の不足です。内部脅威の調査には、行動データを分析し、従業員に関連する機密性の高いインシデントを適切に処理できる、経験豊富なアナリストが必要となる場合が多くあります。
    • プライバシーに関する懸念も、導入を複雑にしている。GDPRなどの規制により、組織は従業員のモニタリングと、個人データに関する法的保護および透明性とのバランスをとることが求められている。一部の企業では、収集される個人情報の量を減らすために、フェデレーテッドラーニングのようなプライバシー保護型のアプローチを採用しているが、こうした手法では検知精度が低下する場合もある。
    • もう一つの課題は、予算の優先順位付けです。特にセキュリティ予算が限られている中小企業では、内部関係者対策に重点を置いたソリューションよりも、境界セキュリティツールを優先し続けている組織があります。

    内部脅威の種類

    悪意のあるインサイダー

    悪意のある内部関係者とは、組織に意図的に損害を与えようとする人物のことです。こうした人物は通常、正当なアクセス権限を持っており、それを悪用して機密データを盗み出したり、システムを妨害したり、あるいはその他の方法で業務を妨害したりします。 その動機には、金銭的利益、思想的信念、復讐、スパイ活動、あるいは強要などが含まれます。また、競合他社のために、あるいは個人的な利益のために、企業秘密を盗み出すことを目的とする場合もあります。悪意のある内部関係者は、多くの場合、事前に計画を立てており、内部のシステムや統制に関する知識を活用して、検知を逃れることがあります。

    怠慢なインサイダー

    不注意または誤りを犯した内部関係者は、内部関係者によるインシデントの最も一般的な原因であり、多くの場合、最も多額の損害をもたらす要因でもあります。不注意な内部関係者は、意図的に損害を与えようとしているわけではありませんが、不注意や知識不足による行動によって結果として損害を引き起こしてしまいます。 例としては、フィッシング攻撃に騙される、システムの設定ミスを犯す、機密性の高い企業データを許可されていない生成AIやシャドーITツールにアップロードしてしまう、あるいは機密データを誤った受信者に送信してしまうなどが挙げられます。こうしたユーザーは、セキュリティプロトコルを無視したり、自身の行動がもたらすリスクを過小評価したりすることが多く、その結果、データ漏洩やコンプライアンス違反の頻繁な原因となっています。

    侵害されたインサイダー

    「侵害された内部関係者」とは、外部の攻撃者によって認証情報やアクセス権を乗っ取られた正規のユーザーを指します。これは、フィッシング、マルウェア、またはクレデンシャルスタッフィングによって発生する可能性があります。 多くの場合、内部関係者はソーシャルエンジニアリングやフィッシング攻撃によって操られ、騙されて認証情報を渡したり、悪意のある攻撃者に企業ネットワークへのアクセス権を付与したりしてしまいます。攻撃者は有効な認証情報を使用するため、その行動を検知するのは困難です。侵害された内部関係者は、通常の業務範囲内で行動しているように見えることが多いため、特に危険です。


    インサイダーによる脅威がなぜそれほど危険なのか

    内部脅威は、攻撃者がすでにネットワーク、アプリケーション、データへの正当かつ許可されたアクセス権を持っているため、検知が極めて困難であることが知られています。侵入すべき境界線が存在しないため、悪意のある活動や不正アクセスによる活動は、通常の日常業務に紛れ込み、数週間あるいは数ヶ月間も気づかれずに済む可能性があります。

    こうした先行要因により、内部関係者によるインシデントの封じ込めや復旧には多額の費用がかかることになります。業界調査によると、データ盗難、長期化する調査、および是正措置を要因として、内部関係者によるリスクの年間平均コストは、1組織あたり数百万ドルに上ると一貫して報告されています。こうしたインシデントの大部分は内部関係者の過失によるものであるため、早期発見と行動監視が不可欠です。

    インサイダーの脅威が主導権を握る:組織はなぜ後れを取るのか

    Exabeamの報告書「From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk(人間からハイブリッドへ:AIとアナリティクスのギャップがインサイダーリスクを助長している)」によると、インサイダーリスクは今や外部からの脅威を上回り、セキュリティチームの主要な懸念事項となっている。当社の調査では、サイバーセキュリティの専門家の64%が、悪意のある、または侵害された内部関係者を外部の攻撃者よりも大きな危険と認識しているのに対し、外部の行為者を指摘したのは36%だった。

    この64%のうち、42%が悪意のある内部関係者を主な懸念事項としており、22%が危険な内部関係者を挙げている。半数以上(53%)は、インサイダー・インシデントが過去1年間に増加したと報告し、54%は今後1年間にさらに増加すると予測している。

    検知機能は未開発のままである。異常な行動を検知するために不可欠なユーザーとエンティティの行動分析(UEBA)を使用している組織は44%に過ぎない。88%が内部脅威プログラムを実施していると回答していますが、その多くは非公式で、資金が不足しており、システム全体の可視性が不足しています。セキュリティ専門家の74%は、経営陣がインサイダーリスクを過小評価していると考えています。

    ジェネレーティブAIが問題を加速させている。76%の組織で、従業員によるGenAIツールの不正使用が確認されている。AIによって強化されたフィッシングやソーシャルエンジニアリング(27%)、不正なGenAIの使用(22%)は、特権の悪用(18%)と並んで、インサイダーの脅威ベクトルの上位にランクされています。

    セキュリティ・リーダーは、より良い行動洞察の必要性を認識しながらも、技術的・組織的な障害に直面しています。エグザビームの調査レポート「人間からハイブリッドへ:AIとアナリティクスのギャップがいかにインサイダーリスクを助長しているか」をダウンロードして詳細をご覧ください。


    内部脅威の例

    波紋

    2025年3月、リップリング社はライバル会社のディール社を相手取って、重大なインサイダー脅威事件を主張する訴訟を起こした。同社は、グローバル・ペイロール・コンプライアンス・マネージャーを装ってリップリング社内にスパイを配置したとDeel社を非難した。2023年に採用されたこの人物は、スラック、セールスフォース、グーグルドライブなど正規のルートを通じて機密データにアクセスするのに4カ月を費やしたとされる。

    盗まれたとされるデータには、価格戦略、顧客リスト、社内の従業員データ、競争に関する見識などが含まれていた。インサイダーの活動は数ヶ月間発見されず、リアルタイムの監視や行動分析が不十分であったことが懸念された。リップリング社は、異常なアクセスパターンや競合他社に関連するキーワード検索を追跡するツールがあれば、もっと早い段階で発見できたかもしれないと主張しました。

    ベライゾン

    2023年9月、ベライゾンの従業員が、6万3,000人以上の個人情報を含むファイルに、適切な権限なしにアクセスした。暴露された情報には、氏名、住所、社会保障番号、報酬データ、組合所属などが含まれていた。ベライゾンはメイン州司法長官事務所にデータ漏洩を確認し、外部からの侵害ではなく、不正アクセスによるものとした。

    同社は、悪意はなく、法執行機関も関与していないとしているが、この情報漏洩は深刻な懸念を引き起こした。この事件は、悪意のない不正アクセスであっても、重大なデータ漏洩につながる可能性があることを浮き彫りにした。また、意図の有無にかかわらず、厳格なアクセス制御を実施し、社内のデータ利用を監視することの重要性も浮き彫りになった。

    ヤフー

    2022年5月、ヤフーは内部脅威による攻撃を受けた。同社のリサーチ・サイエンティストであったQian Sangは、The Trade Deskという競合他社から仕事のオファーを受けた。その数分後、SangはヤフーのAdLearn製品に関する情報を含むヤフーの知的財産約57万ページを個人所有のデバイスにダウンロードした。

    ヤフーは、笙がトレードデスクの競合分析を含む企業データを盗んだことに気づくのに数週間を要した。ヤフーは笙に営業停止命令書を送り、笙の行為がヤフーの企業秘密の独占的管理を剥奪したとして、知的財産データの窃盗を含む3つの告発を行った。


    内部脅威のキルチェーンを理解する

    インサイダーの脅威がどのように起こるのか、侵害の手口と、インサイダーの脅威がどのように特権の昇格を使って被害を拡大するのかを見てみましょう。

    従業員はどのように危険にさらされるのか

    従業員が危険なインサイダーになるには、いくつかの方法がある:

    パスザハッシュ - 認証クレデンシャルの盗難のより高度な形態で、ハッシュ化(暗号化またはダイジェスト化)された認証クレデンシャルがあるコンピュータから傍受され、ネットワーク上の他のコンピュータにアクセスするために使用される。パス・ザ・ハッシュ攻撃は、パスワード盗難攻撃と非常によく似たコンセプトですが、特に RDP セッション中に、実際のプレーン・テキストのパスワードではなく、パスワード・ハッシュ値を盗んで再利用することに依存します。

    • フィッシング-個人を特定できる情報(PII)、銀行やクレジットカードの詳細、パスワードなどの機密データを提供するよう誘い出すために、正規の機関を装った人物から電子メールやテキストメッセージで標的の個人と接触するサイバー犯罪。また、フィッシング詐欺の中には、マルウェアをダウンロードさせるためのリンクをクリックさせようとするものもあります。
    • マルウェア感染-悪意のあるソフトウェア(マルウェア)に感染したマシンがコンピュータに侵入するサイバー犯罪。感染した内部関係者の場合、マルウェアの目的は機密情報やユーザー認証情報を盗むことです。マルウェア感染は、リンクをクリックする、ファイルをダウンロードする、感染したUSBを接続するなどの方法で開始されます。
    • クレデンシャル盗難 -標的にした個人のユーザー名とパスワード、つまりクレデンシャルを盗むことを目的としたサイバー犯罪。クレデンシャルの窃盗は様々な方法で行われる。前述のフィッシングやマルウェア感染が一般的です。一部の犯罪者は、ソーシャル・エンジニアリングに関与することがあります。ソーシャル・エンジニアリングとは、個人を騙してクレデンシャルを漏らすように操作することです。IT ヘルプデスクからの偽の電話で、ユーザが攻撃者からユーザ名とパスワードを確認するよう求められるのは、よくある手口です。

    インサイダーの脅威と特権の昇格

    インサイダーは、アクセス権の乱用によって計画を実行することができる。攻撃者は、特権の昇格と呼ばれる、システムやアプリケーションの欠陥を利用して、アクセス権限のないリソースにアクセスすることを試みるかもしれません。

    アクセス権の濫用は、特権的なアクセス権を持つ者がその権力を濫用するという形で起こるケースもある。2008年の歴史的な事件では、サンフランシスコ市政府のシステム管理者が、市のネットワークへのアクセスを遮断し、管理者パスワードの引き渡しを拒否した。この職員は不満を抱いており、職が危うくなっていたことが明らかになった。

    このような複雑な脅威は、未知の脅威であるため、従来の相関ルールでは検出できない。その代わりに、セキュリティ・アナリストは、異常で潜在的に悪意のある活動を特定できるように、ユーザーの通常の活動を理解する必要がある。


    内部脅威の見つけ方:重要な指標

    組織は、職場やオンライン上のユーザーの行動を観察することで、インサイダーの脅威を発見したり予測したりすることができる。積極的に行動することで、組織は潜在的に悪意のある内部関係者が専有情報を流出させたり、業務を妨害したりする前に捕まえることができるかもしれません。

    内部脅威を特定するために、あなたの組織はどのような行動をとることができるだろうか?

    従業員/請負業者の行動特性組織イベント
    職務外の利益レイオフ
    許可なく異常な時間帯に勤務する年次功労者サイクル - 昇格しない個人
    組織に関する過度の否定的コメント年1回の人事考課-個人は昇給しない
    薬物またはアルコールの乱用業績改善計画の可能性、職場におけるハラスメントの苦情など
    財政難
    ギャンブルの借金
    精神状態の変化業績改善計画の可能性、職場におけるハラスメントの苦情など

    内部脅威のリスクを低減するために留意すべき、従業員または請負業者の行動特性、および組織の出来事。

    内部脅威の可能性を示す不審なセキュリティ・イベントとは?

    行動悪意のあるインサイダー侵害されたインサイダー
    いつもと違う時間に出勤するX
    いつもと違う時間にログインするXX
    いつもと違う場所からのログインX
    初めてシステム/アプリケーションにアクセスするXX
    大量の情報をコピーするXX

    悪意のある、または危険なインサイダーを示唆する行動。

    エキスパートからのアドバイス

    スティーブ・ムーア

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、インサイダーの脅威を効果的に管理・軽減するためのヒントを紹介しよう:

    脅威インテリジェンスとSIEMの統合
    リアルタイムの脅威インテリジェンスフィードでSIEMを強化します。これにより、異常なファイルアクセスやデータ転送などの内部者の行動を既知の悪意のあるパターンと関連付けることができ、内部脅威を迅速に特定できます。

    きめ細かなアクセス制御の実施
    役割と責任に基づいてアクセスを制限することで、最小特権の原則を実施する。自動化されたツールを使用して、従業員の役割の変更や退職に応じて権限を調整し、アクセスが必要以上にならないようにする。

    UEBAで異常なユーザー行動を監視
    UEBA(User and Entity Behavior Analytics)は、異常なログイン時間や未承認リソースへのアクセスなど、基本動作からの逸脱を検出することができます。これは、巧妙な内部脅威をエスカレートする前に検知するために非常に重要です。

    機密データに対するデータ損失防止(DLP)の活用
    DLP ツールを導入して、ネットワーク全体、特に USB などの外部デバイスへの機密データの移動を追跡し、制限します。これにより、悪意のある内部関係者による知的財産の不正流出を防ぐことができます。

    リスクの高いアカウントに多要素認証(MFA)を使用する
    機密性の高いシステムや特権アカウントをMFAで保護する。これにより、認証情報を盗まれたり、フィッシングされたりした危険な内部関係者から保護するレイヤーが追加されます。

    定期的なフィッシング・シミュレーションの実施
    フィッシング攻撃のシミュレーションを通じて、従業員がフィッシングの試みを認識できるように訓練する。定期的なシミュレーションとフォローアップ・トレーニングにより、最も一般的な内部脅威の要因の一つであるフィッシングによって従業員が危険にさらされるリスクを低減します。


    インサイダー脅威に備える6つの方法

    インサイダーの脅威に対抗するために組織ができることはたくさんある。ここでは、重点的に取り組むべき4つの主要分野を紹介する。

    1.従業員を教育する

    フィッシング対策トレーニングを定期的に実施する。最も効果的な手法は、組織がユーザーにフィッシング・メールを送り、そのメールがフィッシングの試みであると認識できないユーザーに対して重点的にトレーニングを行うことである。これにより、危険にさらされた内部関係者となる可能性のある従業員や請負業者の数を減らすことができる。

    組織はまた、同僚の危険な行動を発見し、人事部やITセキュリティに報告するよう従業員を訓練すべきである。不満を持つ従業員に関する匿名のタレコミが、悪質なインサイダーの脅威を食い止めるかもしれない。

    2.ITセキュリティと人事の調整

    レイオフに見舞われたITセキュリティ・チームの話は枚挙にいとまがない。CISOと人事部長が連携することで、ITセキュリティの準備を整えることができる。影響を受ける従業員を監視リストに入れ、その行動を監視するだけでも、多くの脅威を阻止することができます。同様に、昇進を見送られたり、昇給を見送られたりした従業員について、人事がITセキュリティに助言することもできます。データ損失防止(DLP)ツールを、人事部の積極的な考えと意見によって調整することで、自傷行為と事業所に対する不満の両方を早期に警告することができる。

    3.脅威ハンティングチームの構築

    多くの企業が脅威ハンティングの専門チームを抱えている。脅威ハンティングは、インシデントが発見されてから対応するのではなく、プロアクティブなアプローチをとります。ITセキュリティ・チームの専任者は、上記のような兆候を探り、盗難や妨害が発生する前にそれを阻止します。

    4.ユーザー行動分析

    User Behavior Analytics (UBA)は、User and Entity Behavior Analytics (UEBA)とも呼ばれ、組織内の脅威を検出するために、ユーザーやマシンのデータを追跡、収集、分析することです。様々な分析手法を用いて、UEBAは正常な行動と異常な行動を区別する。これは通常、一定期間にわたってデータを収集し、通常のユーザー行動がどのようなものかを理解し、そのパターンに当てはまらない行動にフラグを立てることで行われます。UEBAはしばしば、クレデンシャルの乱用、異常なアクセス・パターン、大量のデータ・アップロードなど、内部脅威の兆候となる異常なオンライン行動を発見することができる。さらに重要なことに、UEBAは、犯罪者が重要なシステムにアクセスするずっと前に、侵害された内部関係者のこれらの異常な行動を発見できることがよくあります。

    5. データ漏洩防止(DLP)を導入する

    ネットワーク上での機密データの移動を追跡・制限するための自動制御機能を設定します。データ漏洩防止(DLP)ツールを使用すれば、機密ファイルのダウンロード、印刷、USBメモリなどの外部デバイスへのコピー、あるいは個人用アカウントへのメール送信をブロックすることができます。これは、悪意のある内部関係者による知的財産の持ち出しを防ぐ最も効果的な方法の一つです。

    6. ゼロトラストと最小権限の原則を採用する

    ユーザーには、業務遂行に必要なデータ、アプリケーション、ネットワークのみにアクセス権を付与し、強力な多要素認証(MFA)を徹底してください。ゼロトラストアプローチでは、いかなるユーザーやデバイスも自動的に信頼されることはないと前提とし、すべてのリクエストを検証することで、侵害された内部関係者や悪意のある内部関係者が引き起こしうる被害を最小限に抑えます。

    専用の内部者リスク管理フレームワークを導入し、これらの管理措置を明確なポリシーと組み合わせ、セキュリティ、IT、人事の各部門が責任を分担することで、内部者によるインシデントの発生頻度と財務的影響を大幅に低減することができます。業界別のガイダンスについては、サイバーセキュリティ・インフラセキュリティ庁(CISA)が、内部者脅威の定義と軽減に関する実用的な資料を公開しています。


    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • ブログ

      なぜルールではインサイダー脅威の連鎖を検知できないのか

    • ホワイトペーパー

      エージェント行動分析:自律型企業のセキュリティ確保

    • ブログ

      New-Scale 2026年7月の新着情報:AIエージェントには「ガードレール」以上のものが必要

    • データシート

      ログリズム・インテリジェンス

    • もっと見る