内部不正の兆候 : 内部に潜む敵を見つけるには

内部不正の概要、内部不正を検出する上での兆候やこうした脅威に対する保護を提供するツールについて説明します。

組織にとって、機密データや情報の価値はこれまでになく高まっています。サイバー攻撃から自社を守るため、多数の組織がサイバー防御策に無数のリソースを割り当て、セキュリティオペレーションセンター (SOC) を立ち上げています。

サイバー攻撃が企業にとって脅威であることは確かですが、検出が非常に難しい内部不正に比べれば、危険度はそう高くなく、また一般的でもありません。

この記事では、内部不正の概要、内部不正を検出する上で役立つ兆候やこうした脅威に対する最適な保護を提供するツールなど、に関する情報について取り上げます。

この記事では以下を取り上げます。

• 内部不正とは？
• 内部不正の兆候事例
• 内部不正検出ソリューション

内部不正とは？

内部不正とは、組織を対象とし、その組織の雇用されている人々により実行される悪意のある活動を指します。このシナリオにおいては、通常、従業員や請負業者など、データベースやアプリケーションを始めとする組織のネットワークへのアクセス権を持つユーザーが容疑者となります。

内部不正の種類
企業に雇用されている人が内部者の脅威となる方法はいくつかあり、事例は以下の通りです。。

• 悪意ある内部者 (裏切り者)—アクセス権限や資格情報を悪用して、個人的または金銭的利益のために情報の窃盗や悪意ある活動を行う個人。
• 不注意な内部者 (人質)—知らずに、または誤って脆弱性を生み出し、システムやネットワークを外部の脅威に晒す人物。意図せずに誤解を招くリンクをクリックしたり、機密情報が含まれるUSBドライブを忘れたりすることは誰にでもあるため、最も一般的な内部者脅威です。
• 侵害された内部者 (なりすまし)—従業員、請負業者やパートナーとしての正当なアクセス権限を使ってユーザーになりすまし、内部者としてのアクセスを実現した外部者。企業スパイとも呼ばれます。
  
  

内部不正の兆候事例

疑わしい活動を示すシステムまたはネットワークレベルでの不規則な振る舞いはすべて、内部者の脅威と捉えることができます。内部不正を示す指標は数多くあり、脅威を防止する上では、そうしたシグナルを認識して従業員を追跡する方法を把握しておくことが重要です。シグナルには以下のようなものが含まれます。

• パフォーマンス評価の悪化—ある従業員のパフォーマンス評価が突然悪化し始めた場合、その従業員が不満を抱えている可能性が高くなります、パフォーマンスの低下はその従業員が仕事への興味や会社への忠誠心を失いつつあることの結果であるかもしれません。また、不満を抱えた従業員がパフォーマンス評価の悪さに怒りを抱き、会社への「仕返し」として自身のアクセスを悪用し、業務を妨害する可能性もあります。s
• 方針の不一致—企業の方針との不一致を明言する従業員は、内部者の脅威となる可能性があります。こうした状況は一般に、望む方向へ会社が方針を変更するよう、従業員が行動を起こす場合に見られます。
• 不満を抱える従業員—同僚や上司と不和があり、口論が多い従業員は、組織に損害を与える形でそうした不満を表面化させることがあります。この他にも、パフォーマンスの低下、通常よりもミスが多い、締切を守らない、遅刻などの形で問題が現れることもあります。
• 金銭的困難—金銭的問題を抱える従業員は常にプレッシャーに苛まれているため、外部者にとっては悪用しやすく、債務返済のため貴重なデータを外部者に売ろうとしたり、恐喝目的で他の従業員の情報や持ち物を盗もうとしたりする可能性があります。
• 不審な金銭的利得—給与水準に見合わない高価な新車など、高価な買い物をし始める従業員は懸念要因となります。利益を得るために会社の情報を売り渡していないか、監視が必要です。
• 通常勤務時間外のアクセス—深夜など、勤務時間外にネットワークへサインインする従業員は、悪意ある意図の隠蔽を狙っている可能性があります。
• 不自然な海外旅行—外国や他の都市へ突然何度も渡航し始めた従業員は、企業スパイ活動に従事している可能性があります。こうした従業員は、他企業の情報を盗むために企業や政府組織などの他組織で秘密裏に雇用されていることもあり、しばしば二重スパイと呼ばれます。
• 離職者—退職する従業員はすべて、内部者の脅威となる可能性があります。退職予定者の過去のネットワークアクティビティを確認し、悪用がないか確かめることがおすすめです。
• 過度に熱心な従業員—過度に熱心な従業員は、秘密の計画の遂行を狙っており、自身の価値を証明して悪用したいデータへのアクセスを獲得しようとしている可能性があります。

内部不正検出ソリューション

こうした形式の脅威は、従来の部外者の脅威よりも見えにくく、検出と防止がより困難です。権限のない人物が会社のネットワークにアクセスを試行する場合であれば、危険な兆候として認識しやすいですが、その攻撃者がアクセスしようとした情報を元社員が売り渡しても、何の兆候も読み取れません。悪意ある行為が実行されるまで、内部者の脅威が検出されにくい理由はここにあります。

最も一般的な内部者の脅威は悪意によるものではなく、こうした脅威が引き起こす損害は意図的なものではありません。この種の脅威に対処するには、特定のセキュリティソリューションとポリシーを適用する必要があります。例えば、ユーザーのアクセスと活動の可視性を高めることなどが、内部不正を検出して防御する上でよい慣行となります。

内部不正の兆候をUEBAで検出
ユーザーとエンティティの行動分析（UEBA）では、コンピューターアクティビティとユーザーアクティビティに関するデータを追跡、収集、分析し、複数の手法を用いて正常な行動と不審な活動が区別されます。

UEBAソリューションがこのタスクを実行できるようにするには、学習期間が必要です。UEBAでは、通常の行動パターンを学んで基本的ガイドラインを確立し、これらに適合しない不審な活動に警告を発することができます。UEBAソリューションは内部の脅威が疑われる不審な活動を検知します。例えば、変則的なオンライン行動、異常なアクセスアクティビティ、資格情報の悪用、大量のデータのアップロード/ダウンロードといった活動が挙げられます。

UEBAの最も重要な役割は、悪意が原因と疑われる不審な活動を検知して、重大な損害が発生する前に、実行者を内部の脅威としてフラグを立てることです。

内部不正の兆候をSOARで検出セキュリティのオーケストレーションと自動化によるレスポンス(SOAR)ツールとは、組織が複数のソースが生成するセキュリティ脅威に関するデータやアラートを収集するために設計されたサイバーセキュリティソリューションです。

多くの組織が、セキュリティオペレーションセンター (SOC) 内でセキュリティ情報イベント管理 (SIEM) などの他のセキュリティツールを強化するためにSOARソリューションを使用しています。SOCはSOARの自動機能を活用し、脅威への対応の迅速化や効率化を実現し、スタッフの負担を軽減してセキュリティインシデントへの対応プロセスを標準化することができます。

SOARは意志決定段階でSOCアナリストを補助し、すべての情報をまとめあげます。また、システムで複数のユーザーが作成されるなどの不審な活動を検知し、これらユーザーへの対応方法の決断をSOCアナリストに促します。さらに、自動化ワークフローと多様なアクションを実行するためにSOCアナリストが使用できるプレイブックを提供し、脅威の封じ込めと軽減を支援します。こうした機能により、深刻な痛手を被るリスクが軽減します。

結論

従来のサイバーセキュリティ手法では外部の脅威からの保護に重点を置いていましたが、内部者の脅威からビジネスを保護することも同様に重要です。ただし、内部不正はウイルス対策やファイアウォールで遮断できないため、組織外からの脅威を検知するよりかなり困難なケースが多くなります。内部不正の兆候を見つけることで、先手を打ち、組織が直面する最大の脅威の1つに対応することができます。

脅威に対応するソリューションに関し、Exabeamは悪意が疑われる従業員の不審な行動を検知する、SOARやUEBAなどのセキュリティツールを提供します。セキュリティ戦略を強化し、内外からの幅広い脅威から自社環境とシステムの保護に役立つExabeamソリューションの詳細を是非ご確認ください。