インサイダーの脅威

内部脅威とは、従業員、元従業員、請負業者、またはベンダーによって引き起こされるセキュリティリスクのことです。内部脅威は、罰金、風評被害、知的財産の損失をもたらす可能性があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 悪意のあるインサイダー脅威と偶発的なインサイダー脅威の種類を識別する
  • 緩和におけるアクセス制御とアクセス管理の役割を理解する
  • リスク低減のための選択肢を評価する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

インサイダーの脅威

内部脅威とは、従業員、元従業員、請負業者、コンサルタント、役員、ベンダーなど、組織と関係のある人物に起因する組織のセキュリティに対するリスクを指します。

これらの脅威は、悪意がある場合もあれば、偶発的な場合もあります。例えば、Verizon社が3,950件のデータ漏えい分析した結果によると、30%に「内部関係者が関与」していたことが判明しています。

内部関係者は、複数の方法で損害を引き起こす可能性があります:

  • データの盗難、漏えい、破壊
  • 企業秘密の販売
  • システム、ネットワーク、その他のITリソースの破壊
  • 会社の備品の置き忘れ
  • メールの添付ファイルを間違った相手に送信してしまう
  • 攻撃者の詐欺の被害者になる
  • ネットワークやデータベースの設定ミス

内部脅威の動機は?

悪意のある内部関係者が組織のデータを侵害する理由は、データの販売、復讐、暇つぶし、イデオロギー、政治的忠誠など、さまざまなものが考えられます。

内部関係者が不注意でセキュリティリスクを生じさせたり、漏洩させてしまう場合に動機はありません。内部関係者は、このような問題につながるミスをしたり、会社の機器を紛失したり、ソーシャルエンジニアリングフィッシングなど)によって騙されてデータを漏えいさせてしまう可能性があります。

一般的な内部脅威の指標とは?

行動の変化は、トラブルの前兆であることがあります。次の行動は、悪意のある内部関係者の存在を示すものかもしれません:

  • 定時以外の出社
  • 通常とは異なるファイルやシステムへのアクセス
  • ファイルの一括ダウンロード
  • ストレージデバイスの使用
  • 予期しない、非常に大きな添付ファイルを付けたメールの送信
  • 異常な残業時間

これらの兆候は、それ自体が悪いわけではありません。ほとんどの場合IT部門の担当者に対して完全に合理的な説明が可能です。

内部脅威対策において、アクセス制御が重要である理由は?

内部脅威から保護するための基本的な側面の1つに、アクセス制御(制限された場所、情報、システムに誰がアクセスできるかを決定するルールとポリシーのセット)があります。これのアプローチの1つは、 ロールベースアクセス制御であり、この場合各ユーザーのアクセス権限は、所属する部署や担当する業務に依存します。

ネットワークセキュリティにおける最小特権アクセスの原則とは、従業員やその他の内部関係者に、それぞれの担当業務を遂行するために必要なものだけにアクセスを許可し、それ以外にはアクセスさせないというものです。たとえば、人事担当者が従業員の給与情報を見る必要があったり、プログラマーがコードベースを変更する必要があったりしても、どちらも相手のファイルにアクセスする必要はありません。

これは、Zero Trustセキュリティが有効なITセキュリティモデルである理由の一部です。これは、企業のリソースにアクセスしようとするすべての人や端末に対して、たとえそれがすでにネットワークの内部にある場合でも、厳重な本人確認を必要とするものです。ユーザーおよび端末のアクセスを制限することで、あらゆる種類の内部脅威の可能性が減少します。これは、クレジットカードを1枚失うのと財布全体を失うのとでは、被害が大きく異なるのと同じです。

企業が内部脅威のリスクを軽減するには?

内部脅威対応プログラムを細かく調整する際には、その動機とその脅威が形成する状況に留意することが重要です。悪意のある内部関係者も不注意による内部関係者も、アクセス制御のベストプラクティスを厳格に守ることは、データ損失防止に大いに役立ちます。

方策には以下のものがあります:

  • 機密データの保管場所とアクセス可能な人物をマッピングする
  • 退職する従業員やその他のその他の内部関係者向けのチェックリストを作成する(社内システムだけでなく、サードパーティ製のソフトウェアやアプリケーションに対するアクセス権の停止を含む)
  • 合併および買収が行われる際は、頻繁に変更される特権やアクセス権に対する警戒度を向上する
  • 従業員にパスワードの管理、機器の紛失の報告、ソーシャルエンジニアリング詐欺の可能性を認識させるなど、偶発的な内部関係者のリスクに関する対象を絞った包括的なトレーニングを義務付ける。

IT部門はアクセス管理を使用してデータやシステムを保護するだけでなく、データ転送のオプションをロックしたり、許可が無いと新しいソフトウェアのダウンロードをできなくするなど、会社が所有または管理しているデバイスに制限を設けることができます。

ロギングと分析機能を使用することで、内部脅威者に共通する行動に対してアラートを設定し、潜在的な問題を早期に発見することが可能です。アラートの種類には以下のものがあります:

  • 未承認のファイル共有アプリケーションへの訪問
  • 未知のデバイスや管理されていないデバイスから発せられたアプリケーションアクセス
  • クラウドストレージプロバイダーからダウンロードしたファイルを別のクラウドストレージプロバイダーにアップロード
  • 通常より大きいサイズのファイルが添付された電子メール
  • 予期しないDNSまたはHTTPクエリ(セキュアWebゲートウェイはこれの識別に役立ちます)
  • 個人の役割の必要性を超える権限を得ようとする行為
  • 短時間に多くのファイルを変更する行為

Cloudflare Zero Trustが、ロールベースのアクセス制御の設定プロセスを簡素化し、リモートアクセスを高速化する方法をご覧ください。