Andrius Buinovskisは、ビジネス向けのワンクリックで導入可能なネットワークセキュリティプラットフォームNordLayerのプロダクト責任者である。
内部脅威は引き続きセキュリティチームを緊張させ続けており、Gurucalの調査によると、企業の83%が2024年に少なくとも1件の内部攻撃を経験したと報告している。悪意を持って行動する内部関係者もいれば、サイバーセキュリティトレーニングの不足や悪習慣により、偶発的に被害をもたらす者もいる。
有害な内部関係者の種類、その行動パターン、引き起こし得る被害を認識することが、企業を守る第一歩となる。意図と動機に基づいて、内部脅威は3つの異なるグループに分類できる:
1. 悪意ある内部脅威
悪意に駆られた内部関係者は、通常、機密性の高い企業データを暴露したり、サイバー犯罪者にビジネスネットワークへのアクセスを許可したりすることによる潜在的な金銭的利益に動機づけられている。また、彼らは組織から何らかの形で不当な扱いを受けたと感じている場合もある。
これらの悪意ある行為者は、時に単独で行動し、収集したデータや機密文書をダークウェブで販売することもあるが、より大規模な攻撃を仕掛けるためにランサムウェアグループなど他のサイバー犯罪者と協力することもある。
悪意ある内部関係者からの最大のリスクの一つは、機密情報を持ち出すことである。これはアプリケーションプログラミングインターフェース(API)を機密データを抽出する直接的な経路として使用することで行われる場合がある。あるいは、退職時に、社内で共有されている企業のファイルストレージシステムへのアクセス権を競合他社、将来の雇用主、または自分自身に与えることもある。
同様に、セキュリティ管理者やソフトウェア開発者も大きな懸念事項である。これらの従業員は高レベルのアクセス権を悪用してデータを改ざんしたり、機密ダッシュボードを閲覧したり、他の悪意ある内部関係者の痕跡を隠したりする可能性がある。同様に、ソフトウェア・アズ・ア・サービス(SaaS)の管理者認証情報を販売または譲渡し、後で使用できる隠しアカウントやトークンを作成することもある。
さらに、悪意ある内部関係者は、多要素認証(MFA)を意図的に無効にしたり、統合機能を削除したり、SaaS自動化を破壊したりして、ワークフローを妨害したり、企業を他のサイバー脅威にさらしたりするサボタージュに訴えることもある。
2. 意図せぬ内部脅威
一部の内部関係者が意図的に組織に害を与えようとする一方で、意図せずに脆弱性を作り出す者もいる。これらの意図せぬ内部脅威は、多くの場合、トレーニング不足、サイバー衛生の悪さ、または単純なヒューマンエラーに起因している。
例えば、これらの従業員は、内部フォルダやチャンネルの設定を誤って公開アクセス可能に変更してしまうことがある。また、以前にサードパーティのサプライヤーや元従業員に付与したアクセス権を取り消し忘れることもある。
パスワード衛生の悪さも、複数のアプリケーションで同じパスワードを再利用したり、アクセストークンを平文で保存したりするなど、重大な意図せぬ内部脅威となる。同様に、従業員はフィッシング詐欺に引っかかり、誤ってサイバー犯罪者に認証情報を渡してしまうことがある。その他の懸念事項には、デフォルトの権限をアクティブなままにする、MFAやシングルサインオン(SSO)の設定を怠る、他者に広範な管理者権限を付与するなどがある。
もう一つのよくある落とし穴は、従業員がデータを過剰に収集したり、拡張アクセスを持つリスクの高いサードパーティアプリを承認することである。例えば、規制対象データを非準拠地域でホストされているSaaSツールに誤ってアップロードし、データ保護法に違反する可能性がある。あるいは、未承認のSaaSツールを使用することで、シャドーITを導入し、企業の攻撃対象領域を拡大してしまう。
これらの内部関係者に悪意はないものの、その行動によってサイバー犯罪者に企業のネットワークへのアクセスを許可してしまい、壊滅的なデータ漏洩や、金銭的・評判的な結果を伴う法的違反につながる可能性がある。
3. 行動的内部脅威
悪意ある意図と偶発的なミスという両極端の間に、もう一つのカテゴリーが存在する:意識的にリスクを取る従業員である。
悪意はないものの、一部の従業員は自分の行動が引き起こし得る害を過小評価していることが多い。この行動は、ここかしこで近道をしても結果は生じないという誤った自信から生まれることが多い。
このような従業員は、セキュリティチームのガイドラインを定期的に無視し、独自のSaaSツールを使用してシャドーITを導入する。また、機密情報をAIツールにアップロードしたり、許可や監視なしにチーム間で機密文書を共有することを常態化したりする可能性も高い。
行動的内部脅威は、特権ドリフトに意図せず貢献する可能性がある。これは、役割変更時に付与された、一時的な任務のために発行された、または適切なガバナンスの欠如により与えられた過剰なアクセス権限が徐々に蓄積されることである。
行動的内部脅威の危険性は、破壊的な習慣にある。サイバーセキュリティトレーニングを受け、リスクを認識していても、これらの内部関係者は企業を危険にさらし続け、多くの場合、サイバーインシデントが発生した後になって初めてその深刻さを認識する。
内部脅威に対抗するためのサイバーセキュリティの強化
内部脅威のスペクトルを理解することは、最初のステップに過ぎない。これらのリスクを軽減するために、組織は悪意ある行動と意図せぬエラーの両方に対処する積極的なサイバーセキュリティ戦略が必要である。内部脅威に対して回復力のあるセキュリティ戦略を構築するために、企業は以下を実施すべきである:
• 高い可観測性を確保する。セキュリティチームは、ユーザーアクティビティに関するリアルタイム情報を持ち、脅威がエスカレーションする前に検出して阻止できるようにする必要がある。
• ネットワークセグメンテーションを実装する。これにより、サイバー犯罪者がネットワークに侵入した場合に、ネットワーク内を横方向に移動することを防ぎ、アクセスできる機密資産の範囲を最小限に抑える。
• 集中型セキュリティポリシーを実施する。これらのポリシーは、一貫性のある統一された防御を作成するのに役立ち、セキュリティチームにネットワークに誰が入れるかをより制御できるようにする。
• 定期的なサイバーセキュリティ意識テストを導入する。フィッシング詐欺を認識する従業員の能力をテストするための定期的なシミュレーションを実施する。テストはまた、サイバーセキュリティ意識のレベルを評価し、企業がサイバー脅威と戦う準備状況を評価し、まだ改善が必要な領域を特定できるようにする。
内部関係者は、悪意ある従業員と基本的なユーザーエラーの両方を含む複雑な脅威をもたらす可能性がある。どのビジネスも両方から完全に安全ではないが、これらの主要な実践により、企業がこれらの脅威を検出、対抗、防止する能力を大幅に向上させることができる。
悪意ある意図から偶発的なエラー、リスクの高い行動まで、内部脅威のスペクトルを理解することで、セキュリティチームはこれらの実践を実装して、インシデントがエスカレーションする前により良く検出、対抗、防止することができる。
