マーカス・ファウラー氏は、Darktrace Federalの最高経営責任者(CEO)およびDarktraceの戦略的エンゲージメント・脅威担当上級副社長(SVP)である。
インサイダー脅威の状況は、地政学的摩擦、経済的不確実性、IT外部委託、バーチャルな労働力、そしてAI導入競争の加速によって再形成されている。商業および政府のエコシステム全体で、組織は大規模な労働力の移行を経験しており、新規採用、退職サイクル、そしてミッションクリティカルなアクセス権の再配分が行われている。
これらの変化により、機密システムへのアクセス権を持つ個人の数と種類の両方が拡大している。同時に、脅威の状況はますます複雑になり、敵対者は従業員を特定し標的にすることがかつてないほど巧みになっている。
地政学的摩擦や経済的不確実性などの変化する状況により、インサイダー脅威の複雑さと機会が増大しており、多くの組織はこれらの事案を検知または封じ込める準備ができていません。
信頼されたアクセスがリスクに変わるとき:インサイダー脅威の複雑さを理解する
今日のインサイダー脅威は、国家主体に限定されない。これらの脅威はスペクトラム上にある—過失や疲労から妨害や諜報活動まで。一部の事案は意図しない行動から生じる:従業員が機密ファイルを未承認のプラットフォームに共有したり、安全でないアプリケーションにデータをアップロードしたり、ツールを誤って設定したりする。他は意図的であり、強制、イデオロギー、自尊心、または金銭的動機によって引き起こされる。
課題は、意図と結果が常に一致するわけではないことだ。善意の従業員による誤った一歩が、意図的な漏洩と同じくらいの害を生み出す可能性がある。動機に関わらず、影響は同じままである:許可されたアクセス権を持つ誰かが害を及ぼす。
AIもこの課題の複雑さを増している。脅威アクターは現在、AIを活用して迅速かつ的を絞った偵察を行うことができる—ソーシャルメディア、組織図、求人情報などの一般公開プラットフォームをスクレイピングして、アクセス権を持つ人員を特定したり、脆弱な従業員を悪用したり、組織に侵入するルートを見つけたりする。
同時に、非公認の「シャドーAI」ツールの台頭により、攻撃対象領域が拡大している。セキュリティ監視なしに生成AIを採用する従業員は、セキュリティチームの認識なしに、意図せずに機密データを露出させる可能性がある。
行動理解が不可欠な理由
インサイダーリスクは、侵害自体ではなく、行動の変化から始まることが多い。しかし、多くの従来型セキュリティツールは、外部脅威の監視や静的な認証情報の検証のために設計されている。これらのシステムは、誰かがアクセス権を持っていれば信頼できるという前提に依存している。これがインサイダーが究極の「環境内活動」脅威の例である理由だ—彼らはすでに環境のすみずみを知り尽くしている。
多くの連邦セキュリティアーキテクチャは、依然として従来のゼロトラストフレームワーク—ID検証、デバイスの衛生状態、リソースへの制御されたアクセスに焦点を当てたモデル—に依存している。これらの戦略は重要だが、脅威アクターがすでにシステム内にいて、不正使用が有効な認証情報内で発生する時代には不十分である。
行動理解に焦点を当てることは、インサイダーを可能な限り早期に特定する唯一の方法である。この戦略は、侵害が可能であるだけでなく、アクセスを継続的に監視する必要があることを前提としている。認証と権限のみに依存するのではなく、行動理解に焦点を当てることで、何が正常か、何が予想される行動から逸脱しているか、何がリスクをもたらすかを特定することによって、ユーザーとピアグループの活動の継続的な分析を優先する。
詳細な行動理解により、組織は活動の微妙だが意味のある変化を特定できる:ユーザーが異常な量のデータをダウンロードしたり、奇妙な時間にシステムにアクセスしたり、役割と一致しない行動を示したりする。これらのパターンはインサイダー事案の前兆であることが多く、それらを早期に認識することが影響を最小限に抑えるカギとなる。
AIの進歩により、セキュリティチームがサイバーおよび運用技術環境の両方を理解する能力が大幅に向上し、インサイダー脅威のより早期かつ正確な検出が可能になっている。現代の環境の規模とペースにより、手動監視や静的ルールに依存することは不可能になっている。AIは現在、行動分析をスケールアップし、高信頼性の異常をリアルタイムで浮き彫りにするために不可欠である。
最近のホワイトハウスからの大統領令は、この可能性を認め、セキュリティのためのAIの使用を推進しており、AIは「脆弱性を迅速に特定し、脅威検出技術の規模を拡大し、サイバー防御を自動化することでサイバー防御を変革する可能性がある」と述べている。
レジリエンス構築が内部から始まる理由
インサイダーリスクは減少していない—それらは進化し、加速し、従来の方法では検出がますます困難になっている。組織は反応的な対応を超えて、典型的な行動を学習し、動的なベースラインを構築し、潜在的な侵害を示す逸脱を浮き彫りにするためにAIを使用するセキュリティ戦略を構築する必要がある。AIを活用した異常検出により、セキュリティチームは事案が発生する前に、ミッションを遅らせることなく、最も重要なシグナルを優先することができる。
地政学的不安定性が増大し、AIが機会と脅威の両方を加速する中、インサイダーリスクはセキュリティリーダーにとって決定的な課題であり続けるだろう。この時代に対応するために、商業組織と政府機関はインサイダーリスクを周辺的な懸念としてではなく、中核的な国家安全保障上の脅威として再構築する必要がある。レジリエンスの構築は行動を理解することから始まり、AIはミッションのスピードでその理解をスケールアップするのに役立つ。
