目次
内部脅威とは何か?
内部脅威は、一般的に以下の3つのカテゴリーに分類されます:
- 不注意な内部関係者:インシデントの最も一般的な原因であり、多くの場合、最も大きな損害をもたらす要因です。こうしたユーザーは悪意があるわけではありませんが、不適切なパスワード管理、端末の紛失、あるいは許可されていない生成AIやシャドーITツールに機密情報を入力してしまうことなどにより、データを漏洩させてしまいます。
- 悪意のある内部関係者:個人的な利益、報復、スパイ活動、あるいは営業秘密の窃取を目的として、意図的にアクセス権を悪用する個人。
- 侵害された内部関係者:認証情報が悪用された正規のユーザー、あるいはソーシャルエンジニアリングやフィッシングによって騙され、攻撃者に企業ネットワークへのアクセス権を付与してしまったユーザー。
内部脅威への対策には、行動分析と厳格なアクセス制御を組み合わせます:
- データ漏洩防止(DLP):機密データのダウンロード、印刷、または個人用アカウントへのメール送信を追跡・制限します。
- ユーザーおよびエンティティの行動分析(UEBA):従業員の通常の行動パターンを基準として、不自然な時間帯での大容量ファイルのダウンロードなど、突発的で異常な行動を検知する。
- ゼロトラストと最小権限の原則:ユーザーには必要なデータやシステムへのアクセスのみを許可し、強力な多要素認証(MFA)を徹底する。
- 従業員教育:セキュリティ対策、特にシャドウAIやフィッシングのリスクについて、スタッフに対して定期的に研修を実施する。
インサイダー脅威の市場動向を理解する
組織が、従来の境界ベースのセキュリティツールでは信頼できるユーザーに起因する脅威を阻止できないことを認識するにつれ、内部脅威管理市場は急速に拡大しています。 この市場は、2030年までに30億3000万米ドルから63億2000万米ドルへと拡大し、年平均成長率(CAGR)は15.8%になると予測されています。この成長の背景には、従業員や契約業者による認証情報の悪用、データ盗難、妨害行為、および不正アクセスに対する懸念の高まりがあります。
導入を加速させている要因はいくつかあります:
- プライバシー規制の強化、サイバー保険の要件、そして経営陣や取締役会からの関心の高まりを受けて、各組織は内部リスクの監視への投資をさらに拡大している。
- また、AIを活用した行動分析プラットフォームは、検知精度を向上させると同時に、セキュリティアナリストの業務負担を軽減しています。
- 同時に、ゼロトラストの取り組みやベンチャー資金の増加により、インサイダー脅威対策プログラムが、規制の厳しい業界以外にも拡大しつつある。
力強い成長が見られるにもかかわらず、組織はインサイダー脅威対策プログラムを構築する際に、依然としていくつかの課題に直面しています:
- 大きな課題の一つは、世界的なサイバーセキュリティ人材の不足です。内部脅威の調査には、行動データを分析し、従業員に関連する機密性の高いインシデントを適切に処理できる、経験豊富なアナリストが必要となる場合が多くあります。
- プライバシーに関する懸念も、導入を複雑にしている。GDPRなどの規制により、組織は従業員のモニタリングと、個人データに関する法的保護および透明性とのバランスをとることが求められている。一部の企業では、収集される個人情報の量を減らすために、フェデレーテッドラーニングのようなプライバシー保護型のアプローチを採用しているが、こうした手法では検知精度が低下する場合もある。
- もう一つの課題は、予算の優先順位付けです。特にセキュリティ予算が限られている中小企業では、内部関係者対策に重点を置いたソリューションよりも、境界セキュリティツールを優先し続けている組織があります。
内部脅威の種類
悪意のあるインサイダー
怠慢なインサイダー
侵害されたインサイダー
インサイダーによる脅威がなぜそれほど危険なのか
内部脅威は、攻撃者がすでにネットワーク、アプリケーション、データへの正当かつ許可されたアクセス権を持っているため、検知が極めて困難であることが知られています。侵入すべき境界線が存在しないため、悪意のある活動や不正アクセスによる活動は、通常の日常業務に紛れ込み、数週間あるいは数ヶ月間も気づかれずに済む可能性があります。
こうした先行要因により、内部関係者によるインシデントの封じ込めや復旧には多額の費用がかかることになります。業界調査によると、データ盗難、長期化する調査、および是正措置を要因として、内部関係者によるリスクの年間平均コストは、1組織あたり数百万ドルに上ると一貫して報告されています。こうしたインシデントの大部分は内部関係者の過失によるものであるため、早期発見と行動監視が不可欠です。
インサイダーの脅威が主導権を握る:組織はなぜ後れを取るのか
Exabeamの報告書「From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk(人間からハイブリッドへ:AIとアナリティクスのギャップがインサイダーリスクを助長している)」によると、インサイダーリスクは今や外部からの脅威を上回り、セキュリティチームの主要な懸念事項となっている。当社の調査では、サイバーセキュリティの専門家の64%が、悪意のある、または侵害された内部関係者を外部の攻撃者よりも大きな危険と認識しているのに対し、外部の行為者を指摘したのは36%だった。
この64%のうち、42%が悪意のある内部関係者を主な懸念事項としており、22%が危険な内部関係者を挙げている。半数以上(53%)は、インサイダー・インシデントが過去1年間に増加したと報告し、54%は今後1年間にさらに増加すると予測している。
検知機能は未開発のままである。異常な行動を検知するために不可欠なユーザーとエンティティの行動分析(UEBA)を使用している組織は44%に過ぎない。88%が内部脅威プログラムを実施していると回答していますが、その多くは非公式で、資金が不足しており、システム全体の可視性が不足しています。セキュリティ専門家の74%は、経営陣がインサイダーリスクを過小評価していると考えています。
ジェネレーティブAIが問題を加速させている。76%の組織で、従業員によるGenAIツールの不正使用が確認されている。AIによって強化されたフィッシングやソーシャルエンジニアリング(27%)、不正なGenAIの使用(22%)は、特権の悪用(18%)と並んで、インサイダーの脅威ベクトルの上位にランクされています。
内部脅威の例
波紋
2025年3月、リップリング社はライバル会社のディール社を相手取って、重大なインサイダー脅威事件を主張する訴訟を起こした。同社は、グローバル・ペイロール・コンプライアンス・マネージャーを装ってリップリング社内にスパイを配置したとDeel社を非難した。2023年に採用されたこの人物は、スラック、セールスフォース、グーグルドライブなど正規のルートを通じて機密データにアクセスするのに4カ月を費やしたとされる。
盗まれたとされるデータには、価格戦略、顧客リスト、社内の従業員データ、競争に関する見識などが含まれていた。インサイダーの活動は数ヶ月間発見されず、リアルタイムの監視や行動分析が不十分であったことが懸念された。リップリング社は、異常なアクセスパターンや競合他社に関連するキーワード検索を追跡するツールがあれば、もっと早い段階で発見できたかもしれないと主張しました。
ベライゾン
2023年9月、ベライゾンの従業員が、6万3,000人以上の個人情報を含むファイルに、適切な権限なしにアクセスした。暴露された情報には、氏名、住所、社会保障番号、報酬データ、組合所属などが含まれていた。ベライゾンはメイン州司法長官事務所にデータ漏洩を確認し、外部からの侵害ではなく、不正アクセスによるものとした。
同社は、悪意はなく、法執行機関も関与していないとしているが、この情報漏洩は深刻な懸念を引き起こした。この事件は、悪意のない不正アクセスであっても、重大なデータ漏洩につながる可能性があることを浮き彫りにした。また、意図の有無にかかわらず、厳格なアクセス制御を実施し、社内のデータ利用を監視することの重要性も浮き彫りになった。
ヤフー
内部脅威のキルチェーンを理解する
従業員はどのように危険にさらされるのか
従業員が危険なインサイダーになるには、いくつかの方法がある:
パスザハッシュ - 認証クレデンシャルの盗難のより高度な形態で、ハッシュ化(暗号化またはダイジェスト化)された認証クレデンシャルがあるコンピュータから傍受され、ネットワーク上の他のコンピュータにアクセスするために使用される。パス・ザ・ハッシュ攻撃は、パスワード盗難攻撃と非常によく似たコンセプトですが、特に RDP セッション中に、実際のプレーン・テキストのパスワードではなく、パスワード・ハッシュ値を盗んで再利用することに依存します。
- フィッシング-個人を特定できる情報(PII)、銀行やクレジットカードの詳細、パスワードなどの機密データを提供するよう誘い出すために、正規の機関を装った人物から電子メールやテキストメッセージで標的の個人と接触するサイバー犯罪。また、フィッシング詐欺の中には、マルウェアをダウンロードさせるためのリンクをクリックさせようとするものもあります。
- マルウェア感染-悪意のあるソフトウェア(マルウェア)に感染したマシンがコンピュータに侵入するサイバー犯罪。感染した内部関係者の場合、マルウェアの目的は機密情報やユーザー認証情報を盗むことです。マルウェア感染は、リンクをクリックする、ファイルをダウンロードする、感染したUSBを接続するなどの方法で開始されます。
- クレデンシャル盗難 -標的にした個人のユーザー名とパスワード、つまりクレデンシャルを盗むことを目的としたサイバー犯罪。クレデンシャルの窃盗は様々な方法で行われる。前述のフィッシングやマルウェア感染が一般的です。一部の犯罪者は、ソーシャル・エンジニアリングに関与することがあります。ソーシャル・エンジニアリングとは、個人を騙してクレデンシャルを漏らすように操作することです。IT ヘルプデスクからの偽の電話で、ユーザが攻撃者からユーザ名とパスワードを確認するよう求められるのは、よくある手口です。
インサイダーの脅威と特権の昇格
インサイダーは、アクセス権の乱用によって計画を実行することができる。攻撃者は、特権の昇格と呼ばれる、システムやアプリケーションの欠陥を利用して、アクセス権限のないリソースにアクセスすることを試みるかもしれません。
アクセス権の濫用は、特権的なアクセス権を持つ者がその権力を濫用するという形で起こるケースもある。2008年の歴史的な事件では、サンフランシスコ市政府のシステム管理者が、市のネットワークへのアクセスを遮断し、管理者パスワードの引き渡しを拒否した。この職員は不満を抱いており、職が危うくなっていたことが明らかになった。
このような複雑な脅威は、未知の脅威であるため、従来の相関ルールでは検出できない。その代わりに、セキュリティ・アナリストは、異常で潜在的に悪意のある活動を特定できるように、ユーザーの通常の活動を理解する必要がある。
内部脅威の見つけ方:重要な指標
組織は、職場やオンライン上のユーザーの行動を観察することで、インサイダーの脅威を発見したり予測したりすることができる。積極的に行動することで、組織は潜在的に悪意のある内部関係者が専有情報を流出させたり、業務を妨害したりする前に捕まえることができるかもしれません。
内部脅威を特定するために、あなたの組織はどのような行動をとることができるだろうか?
| 従業員/請負業者の行動特性 | 組織イベント |
| 職務外の利益 | レイオフ |
| 許可なく異常な時間帯に勤務する | 年次功労者サイクル - 昇格しない個人 |
| 組織に関する過度の否定的コメント | 年1回の人事考課-個人は昇給しない |
| 薬物またはアルコールの乱用 | 業績改善計画の可能性、職場におけるハラスメントの苦情など |
| 財政難 | |
| ギャンブルの借金 | |
| 精神状態の変化 | 業績改善計画の可能性、職場におけるハラスメントの苦情など |
内部脅威のリスクを低減するために留意すべき、従業員または請負業者の行動特性、および組織の出来事。
内部脅威の可能性を示す不審なセキュリティ・イベントとは?
| 行動 | 悪意のあるインサイダー | 侵害されたインサイダー |
| いつもと違う時間に出勤する | X | |
| いつもと違う時間にログインする | X | X |
| いつもと違う場所からのログイン | X | |
| 初めてシステム/アプリケーションにアクセスする | X | X |
| 大量の情報をコピーする | X | X |
悪意のある、または危険なインサイダーを示唆する行動。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、インサイダーの脅威を効果的に管理・軽減するためのヒントを紹介しよう:
脅威インテリジェンスとSIEMの統合
リアルタイムの脅威インテリジェンスフィードでSIEMを強化します。これにより、異常なファイルアクセスやデータ転送などの内部者の行動を既知の悪意のあるパターンと関連付けることができ、内部脅威を迅速に特定できます。
きめ細かなアクセス制御の実施
役割と責任に基づいてアクセスを制限することで、最小特権の原則を実施する。自動化されたツールを使用して、従業員の役割の変更や退職に応じて権限を調整し、アクセスが必要以上にならないようにする。
UEBAで異常なユーザー行動を監視
UEBA(User and Entity Behavior Analytics)は、異常なログイン時間や未承認リソースへのアクセスなど、基本動作からの逸脱を検出することができます。これは、巧妙な内部脅威をエスカレートする前に検知するために非常に重要です。
機密データに対するデータ損失防止(DLP)の活用
DLP ツールを導入して、ネットワーク全体、特に USB などの外部デバイスへの機密データの移動を追跡し、制限します。これにより、悪意のある内部関係者による知的財産の不正流出を防ぐことができます。
リスクの高いアカウントに多要素認証(MFA)を使用する
機密性の高いシステムや特権アカウントをMFAで保護する。これにより、認証情報を盗まれたり、フィッシングされたりした危険な内部関係者から保護するレイヤーが追加されます。
定期的なフィッシング・シミュレーションの実施
フィッシング攻撃のシミュレーションを通じて、従業員がフィッシングの試みを認識できるように訓練する。定期的なシミュレーションとフォローアップ・トレーニングにより、最も一般的な内部脅威の要因の一つであるフィッシングによって従業員が危険にさらされるリスクを低減します。
インサイダー脅威に備える6つの方法
1.従業員を教育する
2.ITセキュリティと人事の調整
3.脅威ハンティングチームの構築
4.ユーザー行動分析
5. データ漏洩防止(DLP)を導入する
ネットワーク上での機密データの移動を追跡・制限するための自動制御機能を設定します。データ漏洩防止(DLP)ツールを使用すれば、機密ファイルのダウンロード、印刷、USBメモリなどの外部デバイスへのコピー、あるいは個人用アカウントへのメール送信をブロックすることができます。これは、悪意のある内部関係者による知的財産の持ち出しを防ぐ最も効果的な方法の一つです。
6. ゼロトラストと最小権限の原則を採用する
ユーザーには、業務遂行に必要なデータ、アプリケーション、ネットワークのみにアクセス権を付与し、強力な多要素認証(MFA)を徹底してください。ゼロトラストアプローチでは、いかなるユーザーやデバイスも自動的に信頼されることはないと前提とし、すべてのリクエストを検証することで、侵害された内部関係者や悪意のある内部関係者が引き起こしうる被害を最小限に抑えます。
専用の内部者リスク管理フレームワークを導入し、これらの管理措置を明確なポリシーと組み合わせ、セキュリティ、IT、人事の各部門が責任を分担することで、内部者によるインシデントの発生頻度と財務的影響を大幅に低減することができます。業界別のガイダンスについては、サイバーセキュリティ・インフラセキュリティ庁(CISA)が、内部者脅威の定義と軽減に関する実用的な資料を公開しています。