内部的セキュリティインシデントは、たいていが純粋なミスの結果です。しかし、従業員が何らかの理由で企業リソースを故意に盗んだり改ざんしたりして利を得ようとすることが時々あります。インサイダー脅威に関するPonemon Instituteの調査によれば、脆弱性の悪用であれ、将来の利益のためのデータ窃盗であれ、悪意あるインサイダーによる攻撃のコストは平均64万8062ドルに上るといいます。コストは、データやシステムの損失、その復旧作業、攻撃者へ支払う身代金など、さまざまな要素から生じます。そうした財務上の影響に加え、インサイダー攻撃は評判、競争力、顧客信頼など複数の面で企業にダメージを与えかねません。
最近ニュースになったケースをいくつか見ても、悪意あるインサイダーのリスクが皆無な企業はないとわかります。リスク低減のために適切なセキュリティ対策を実装する必要があることは明らかです。
Pfizer社は、ある従業員が新型コロナウィルス感染症のワクチンに関する企業秘密関連データを含め1万2000のファイルをGoogle Driveアカウントにアップロードしたと主張しました。その従業員は別の会社から採用のオファーを受けていたといいます。
コネチカット州のある会社は、退職する従業員が会社のシステムにランサムウェア攻撃を仕掛けたと主張しています。去り際にファイルを暗号化し、匿名で支払いを要求したそうです。
ニューヨークでは、ある上級開発者がVPN経由でデータを盗み、外部攻撃者のふりをして雇用者から金を脅し取ろうとした容疑で逮捕されました。
悪意あるインサイダーは数十年前からいましたが、リモートワークへの移行に伴ってインサイダー攻撃者がもたらすリスクが増大しています。多くの従業員、請負業者、パートナーがオフィスや従来の企業ネットワークの外で勤務するようになり、悪意あるインサイダーと通常の挙動の見分けが遥かに難しくなっているのです。
Forrester Researchは、感染症の世界的流行(パンデミック)に関連してリモートワークが増えたことが「悪意あるインサイダー暗躍の絶好機」の一要因となったとしています。他の多くの攻撃タイプについても言えることですが、パンデミックによって悪意あるインサイダーがそのアクションを隠しやすい状況が生まれています。しかし、リスクを生じさせているのはパンデミックだけではなく、以下のようないくつかの要因があります。
物理的可視性の不足:リモートユーザーは監視が困難です。たとえば、痕跡を残さず、同僚に見られるリスクもなく、コンピューター画面に表示された機密情報の写真を撮ることができます。 さらに、普通でない時間帯の企業リソースアクセスや離席といった従来の潜在的データ窃盗の兆候は、リモートチームについては察知しにくく、「柔軟な」業務スケジュールで働く場合は不審にさえ見えません。
私物デバイス使用:私物デバイスの使用(BYOD)をサポートする企業が増えています。しかし、私物デバイスはデータやアプリケーションアクセスの制御が難しく、データ窃盗のアクセスポイントになります。私物デバイスでのアクセスについて一定の可視性と制御性を確保するエンドポイントソフトウェアが無ければ、セキュリティチームは業務目的外のデータアクセスがあっても気付かないかもしれません。
SaaSアプリケーション導入の増加:SaaSアプリケーションは、従来の企業ネットワークの外にあるサードパーティのクラウドインフラストラクチャでホストされています。従業員はそうしたアプリケーションにパブリックインターネット経由でアクセスすることが多いため、企業がセキュアWebゲートウェイを介してパブリックインターネットの利用を監視していなければ、誰がどのデータにアクセスしているかを追跡できません。
「大量離職時代」:残念なことに、従業員の中には辞職を機に会社から機密情報を持ち出して転職先に持っていこうとする者がいます。Tessianの調査では、45%の人が辞職前または解雇後にファイルをダウンロードしたと言っています。特にIT部門では「現在の会社に留まる意志が強い」従業員はわずか29%であることが、最近のGartnerの調査でわかりました。このトレンドが続けば、辞職する従業員による機密情報の窃盗はさらに大きな潜在リスクになります。
こうしたトレンドに加え、悪意あるインサイダーの手口も急速に進化しています。最近のInsider Risk Reportによると、悪意あるインサイダーの32%が、バーナーメールアドレスを使う、アイデンティティを秘匿する、時間を掛けて徐々に行動する、ファイルをパーソナルメールアカウントにドラフトとして保存する、企業内の既存の承認済みツールを使ってデータの検索や抽出を行うなど、「高度な手法」を用いていることがわかっています。