悪意あるインサイダーのリスクの低減
脅威は内部から
内部的セキュリティインシデントは、たいていが純粋なミスの結果です。しかし、従業員が何らかの理由で企業リソースを故意に盗んだり改ざんしたりして利を得ようとすることが時々あります。インサイダー脅威に関するPonemon Instituteの調査によれば、脆弱性の悪用であれ、将来の利益のためのデータ窃盗であれ、悪意あるインサイダーによる攻撃のコストは平均64万8062ドルに上るといいます。コストは、データやシステムの損失、その復旧作業、攻撃者へ支払う身代金など、さまざまな要素から生じます。そうした財務上の影響に加え、インサイダー攻撃は評判、競争力、顧客信頼など複数の面で企業にダメージを与えかねません。
最近ニュースになったケースをいくつか見ても、悪意あるインサイダーのリスクが皆無な企業はないとわかります。リスク低減のために適切なセキュリティ対策を実装する必要があることは明らかです。
Pfizer社は、ある従業員が新型コロナウィルス感染症のワクチンに関する企業秘密関連データを含め1万2000のファイルをGoogle Driveアカウントにアップロードしたと主張しました。その従業員は別の会社から採用のオファーを受けていたといいます。
コネチカット州のある会社は、退職する従業員が会社のシステムにランサムウェア攻撃を仕掛けたと主張しています。去り際にファイルを暗号化し、匿名で支払いを要求したそうです。
ニューヨークでは、ある上級開発者がVPN経由でデータを盗み、外部攻撃者のふりをして雇用者から金を脅し取ろうとした容疑で逮捕されました。
悪意あるインサイダーは数十年前からいましたが、リモートワークへの移行に伴ってインサイダー攻撃者がもたらすリスクが増大しています。多くの従業員、請負業者、パートナーがオフィスや従来の企業ネットワークの外で勤務するよ��うになり、悪意あるインサイダーと通常の挙動の見分けが遥かに難しくなっているのです。
悪意あるインサイダーのリスクを増大させているトレンド
Forrester Researchは、感染症の世界的流行(パンデミック)に関連してリモートワークが増えたことが「悪意あるインサイダー暗躍の絶好機」の一要因となったとしています。他の多くの攻撃タイプについても言えることですが、パンデミックによって悪意あるインサイダーがそのアクションを隠しやすい状況が生まれています。しかし、リスクを生じさせているのはパンデミックだけではなく、以下のようないくつかの要因があります。
物理的可視性の不足:リモートユーザーは監視が困難です。たとえば、痕跡を残さず、同僚に見られるリスクもなく、コンピューター画面に表示された機密情報の写真を撮ることができます。さらに、普通でない時間帯の企業リソースアクセスや離席といった従来の潜在的データ窃盗の兆候は、リモートチームについては察知しにくく、「柔軟な」業務スケジュールで働く場合は不審にさえ見えません。
私物デバイス使用:私物デバイスの使用(BYOD)をサポートする企業が増えています。しかし、私物デバイスはデータやアプリケーションアクセスの制御が難しく、データ窃盗のアクセスポイントになります。私物デバイスでのアクセスについて一定の可視性と制御性を確保するエンドポイントソフトウェアが無ければ、セキュリティチームは業務目的外のデータアクセスがあっても気付かないかもしれません。
SaaSアプリケーション導入の増加:SaaSアプリケーションは、従来の企業ネットワークの外にあるサードパーティのクラウドインフラストラクチャでホストされています。従業員はそうしたアプリケーションにパブリックインターネット経由でアクセスすることが多いため、企業がセキュアWebゲートウェイを介してパブリックインターネットの利用を監視していなければ、誰がどのデータにアクセスしているかを追跡できません。
「大量離職時代」:残念なことに、従業員の中には辞職を機に会社から機密情報を持ち出して転職先に持っていこうとする者がいます。Tessianの調査では、45%の人が辞職前または解雇後にファイルをダウンロードしたと言っています。特にIT部門では「現在の会社に留まる意志が強い」従業員はわずか29%であることが、最近のGartnerの調査でわかりました。このトレンドが続けば、辞職する従業員による機密情報の窃盗はさらに大きな潜在リスクになります。
こうしたトレンドに加え、悪意あるインサイダーの手口も急速に進化しています。最近のInsider Risk Reportによると、悪意あるインサイダーの32%が、バーナーメールアドレスを使う、アイデンティティを秘匿する、時間を掛けて徐々に行動する、ファイルをパーソナルメールアカウントにドラフトとして保存する、企業内の既存の承認済みツールを使ってデータの検索や抽出を行うなど、「高度な手法」を用いていることがわかっています。
リスク低減対策の実務
Code42の「Annual Data Exposure Report」によると、企業の39%はインサイダーリスク管理プログラムを整備していません。それらの企業にとっては、実装が重要な第一歩となるでしょう。即効性のある安全対策を確立するために、以下のような業務ベストプラクティスを取り入れることを検討しましょう。
従業員が辞表を提出した後、できる限り早い段階で、最も機密性の高いアプリケーションやデータへのアクセスを減らす
解雇した従業員は、企業リソースから即時ロックアウトする
アイドルタイム中は再度ログインを義務づける
パスワード管理プログラムの使用を義務づける
不審な挙動に関して従業員を教育する
不審な挙動を通報するための匿名プロセスを実装する
脅威防止のためのZero Trust
悪意あるインサイダーはそもそも、所属企業のセキュリティ慣行をよく知っています。そのため、上記の業務プロトコルもリスクを完全に排除できるわけではありません。脅威の防止にはZero Trustのような包括的な最新セキュリティフレームワークが必要です。Zero Trustは、たとえネットワーク内からの接続であっても、いかなるユーザーもリクエストもデフォルトで信頼しないことをコア原則としています。
Zero Trustセキュリティでは、以下を要求することにより悪意あるインサイダーに狙われる脆弱性を減らすことができます。
VPNの非推奨:VPNは多くの場合、ユーザーに完全に自由なネットワークアクセスを認めます。こうした過剰な特権は、悪意あるインサイダーが脅威をラテラルに拡散してデータを抽出するという不必要なリスクを生み出します。VPNの順次廃止は、長期的なZero Trust導入の初期段階でよく行われます。
インターネットブラウジングの監視とセキュリティ制御適用:これは、インターネット上のユーザーアクティビティの可視性を高め、制御を適用して、悪意あるインサイダーが不審なWebサイトやクラウドストレージサイトの個人用テナントなどに機密データを入力しないようにすることです。こうした制御は、セキュアWebゲートウェイ(SWG)とリモートブラウザ分離(RBI)を介して行います。
IDとその他のコンテキストシグナルに基づくアクセス認証:ID確認、多要素認証(MFA)、デバイスポスチャーなどその他のコンテキストシグナルの確認後にリソースへのアクセスを許可する最小特権アクセスポリシーを設定します。それらのコンテキストシグナルを重ねることで、悪意あるインサイダーを捕捉することができます。それらのコンテキストシグナルの確認は、潜在的な悪意あるインサイダーによる不審で信頼できないアクティビティを検出するのに役立ちます。
Cloudflareは、企業がID、ポスチャー、コンテキストに基づくルールを適用してアプリケーションを保護し、ユーザーが業務上必要なアプリとデータにのみアクセスできるようにして、データ抽出のリスクを最小化する包括的なZero Trustセキュリティを実現できるようお手伝いします。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
リモートワークによってインサイダー脅威の検出がいかに難しくなっているか
悪意あるインサイダーが行動を起こしやすくなっている要因は何か
インサイダーがデータ抽出に使っている高度な手法
Zero Trustセキュリティによって、どのようにラテラルムーブメントを阻止できるか