サイバーセキュリティにおける内部脅威

セキュリティについて考える場合、まず思い浮かぶのは外部からの攻撃でしょう。私たちは自宅や会社のドアに鍵をかけ、ジムに行ったら持ち物を盗難から守るために鍵付きのロッカーに入れ、PCやスマートフォンに不正アクセスされないようにセキュリティ対策を講じます。

このように外部からの脅威に目が行きがちですが、最大の脅威は内部に潜んでいることもあります。

サスペンスホラー映画の傑作『夕暮れにベルが鳴る』を観たことがある方もいらっしゃるかもしれません。この物語の中で、外部からのいたずら電話に怯えていた主人公は、「電話が家の中からかかっている」という驚愕の事実を知ることになります。この予想外の展開は、内部脅威の恐ろしさをよく物語っています。

この映画と同じように、どのような組織でも、脅威は必ずしも外部からやってくるとは限りません。不満を抱いている従業員、不注意なチームメンバー、自身のアクセス権を悪用する悪意のある内部関係者のいずれも脅威になり得ます。こうした内部の人間は、組織の機密データ、評判、全体的なセキュリティに重大なダメージを与える可能性があります。

内部脅威とは

外部からの脅威とは異なり、内部脅威は組織のセキュリティと全体の整合性に深刻な害をもたらすリスクのひとつです。CISAは内部脅威が、「あらゆる重要インフラ分野の公開領域と非公開領域に影響する複雑で動的なリスクをもたらす」と説明しています。

なぜなら、内部脅威は通常、組織内部の以下のような個人によって引き起こされるためです。

• 従業員
• 退職者
• 請負業者
• パートナーや仕事の関係者

こうした個人は、組織のセキュリティ態勢、データ、コンピューターシステムに関する内部情報を知っています。社内情報にアクセスでき、内情を理解している内部の人間がもたらす脅威は甚大であり、そういった関係者による犯行は場合によっては外部からの脅威よりもはるかに有害で検出が困難です。

内部脅威の多くはデータ侵害であり、組織に数百万ドル単位の被害をもたらすこともあります。

今日の組織が直面しがちな脅威については、E-book『サイバーセキュリティの脅威トップ50』をご覧ください。

内部脅威の種類

内部脅威は、意図的なものと意図しないものの2種類に大きく分けられます。組織の環境の安定と安全を維持するには、両方のタイプの内部脅威を理解し、緩和することが重要です。

意図的な内部脅威

意図的な内部脅威では、実行者が自身のアクセス権を悪用して組織に損害を与えます。通常、実行者は悪意を持っており、組織に損害を与えること自体が目的であるか金銭目的です。

意図的な内部脅威は、『リストラ・マン』や『サイバーネット』などの映画でコメディータッチで描かれていますが、被害は甚大です。どちらの作品でも、取引が発生するたびに支払金を少しずつ横領するように作られたコンピュータープログラムを使って、最終的に組織から多額のお金を盗み出しています。

意図的な内部脅威の例には、以下のものが挙げられます。

• サボタージュ：従業員がデータの改ざん、情報の削除、その他の悪質な行為によって組織に害を及ぼすこと
• 金銭の獲得：組織の資金を横領したり、機密データを売り払ったりすること
• スパイ行為：個人的な利益のために機密データをひそかに閲覧したり盗み出したりすること

意図しない内部脅威

意図しない内部脅威では、従業員が意図せず不注意でセキュリティ侵害を引き起こします。

たとえば、週末に仕事をするために機密文書を個人のメールアカウントに送信するといった行為が該当します。ただし、意図しない脅威がソーシャルエンジニアリングの結果として発生することが増えています。つまり、組織内の人間が組織のセキュリティを損なう行為を強要されたり、金銭をえさにそそのかされたりするケースです。(ソーシャルエンジニアリングについて詳しくは、こちらをご覧ください)

こういった脅威は、人的ミス、認識不足、過失、または単にセキュリティトレーニングを受けていないことから起こります。意図しない内部脅威の例には、以下のものが挙げられます。

• 人的ミス：重要なデータを誤って削除したり、マルウェアを知らずにダウンロードしたりすること
• 過失：セキュリティ保護されていないネットワークを介して機密情報をやり取りしたり、ソフトウェアアップデートを怠ったり、フィッシングに引っかかったりすること
• 認識不足：トレーニングを受けていないか正しく理解していないために、適切なセキュリティ手順やセキュリティポリシーに従わないこと

内部脅威インシデントの損害と傾向

内部脅威は、意図的であろうとなかろうと、組織に深刻なダメージと多大なコストをもたらす可能性があります。たとえば、以下の損害が考えられます。

• 機密データの喪失：重要なデータにアクセスできる内部の人間がデータを漏えいさせるか盗み出すことで、多額の損害を被ったり組織の評判が大きく損なわれたりするおそれがあります。
• 金銭的損害：内部脅威によるデータ侵害によって高額な裁判費用、罰金、和解金が生じる場合があります。
• ブランドイメージの低下：内部の関係者によるインシデントは、組織のブランドイメージに取り返しのつかないダメージを与え、顧客や株主の信頼を取り戻すのに長い時間を要することがあります。
• ビジネス活動の中断：内部脅威は、業務の混乱を招き、生産性と収益の損失につながることがあります。
• 訴訟や規制違反：機密データの保護を怠ったとして、個人から訴訟を起こされたり規制当局から罰則を科されたりする可能性があります。

内部脅威の実例

これまで多くの有名企業が内部脅威によって深刻なダメージを受けてきました。このことは内部脅威対策がいかに重要であるかを物語っています。ここでは、フィクションではなく実際の事例を3件ご紹介します。

サンフランシスコ市(2008年)

2008年、ネットワーク管理者を務めていたテリー・チャイルズは、市のFiberWANネットワークシステムの管理パスワードを書き換え、正当な権限を持つユーザーがメール、給与データ、犯罪歴などの情報にアクセスできないようにしました。市側がパスワードを聞き出すことに成功するまでに、アクセスできない状態が9日間続きました。

サンフランシスコ市は結局、自らのネットワークの制御を取り戻すだけに約90万ドルの損失を被りました。

(ネットワークセキュリティの基本については、こちらをご覧ください)

マリオットホテル(2010年代)

マリオットホテルは大規模なデータベース侵害を受け、その結果、5億件以上の顧客情報が流出しました。事件は、マリオットホテルが買収したStarwood Hotels & Resorts Worldwide社の予約データベースで起こりました。

マリオットホテル側がネットワークへの不正アクセスに気づいたのは2018年ですが、2014年のはじめにはすでに一部のデータが盗まれていました。このデータ侵害により、推定で1,840万ポンドの損失を被っています。

X (旧Twitter、2020年)

2020年7月15日、ハッカーがソーシャルエンジニアリングを通じてTwitter社の管理ツールへのアクセス権を獲得し、著名人約130人のTwitterアカウントを乗っ取ってビットコインに関する詐欺の宣伝を行いました。最終的にTwitter社は詐欺メッセージを削除しましたが、最初のツイートから数分の間に320件以上の取引が行われ、10万ドル以上のビットコインがアカウントに入金されました。

内部脅威を緩和するためのベストプラクティス

サイバーセキュリティの定石として、リスクの緩和には継続的な監視が重要です(そこで役に立つのがSplunkです)。適切なセキュリティポリシーの策定、従業員のトレーニング、継続的な監視は、内部脅威を緩和するために必須です。そのためのベストプラクティスをいくつかご紹介します。

• 身元調査：従業員、請負業者、その他の関係者に機密データへのアクセスを許可するときは、事前に徹底した身元調査を行います。
• アクセス制御：重要なデータやシステムへのアクセスを、従業員それぞれの職務に基づいて制限します。
• 従業員の教育：セキュリティポリシーや内部脅威の兆候について、従業員を対象としたトレーニングを実施します。
• セキュリティ監視：ネットワークアクティビティとユーザーの行動を継続的に監視して、不審な動きがないかどうかを確認します。
• インシデント対応計画：内部脅威が発生した場合に迅速に対応して処理できるように、インシデント対応計画を明確に定めます。

組織の内部脅威に関するリスクを最小限に抑える

内部脅威は、組織の規模や所属業界に関係なく重大なリスクをもたらします。内部脅威の種類、考えられる損害、リスクを緩和するためのベストプラクティスを深く理解することは、組織の環境のセキュリティを維持するために不可欠です。

適切なセキュリティポリシーを定め、従業員トレーニングを実施し、継続的な監視態勢とインシデント対応計画を整備することは、内部脅威から組織を守り、発生時のダメージを最小限に抑えるために効果的です。

テクノロジーの進化とともに内部脅威の手段も進化しています。それは意図的な脅威はもちろん、意図的でない場合も同様です。そのため、組織の機密データとブランドイメージを守るには、内部脅威への警戒を怠らず、積極的に緩和措置を講じることが重要です。

すべての人にとって安全で安心なデジタル環境を作るために皆で力を合わせましょう。

このブログはこちらの英語ブログの翻訳です。