サイバーセキュリティは、今日のネットワーク化された世界では必要不可欠であり、近年のリモートワークの拡大に伴い、脅威は増大しています。ITアセットにアクセスしたハッカーやサイバー犯罪者は、組織の運営、財務、評判、競争上の優位性に深刻な損害を与える可能性があります。当然のことながら、ITセキュリティの取り組みは、これらの外部の脅威への対処に重点を置く傾向があります。最優先事項は、機密情報を本来あるべき場所、つまり内部に安全に保管することです。

しかし、そこはどれほど安全なのでしょうか？組織内から発生する脅威は、外部からのサイバー攻撃と同程度の損害を与える可能性がありますが、多くの場合、対処されていません。潜在的なインサイダー脅威を認識し、対応することは、ビジネスを運営するための情報システムと機密データを保護し、安全を確保する戦略の重要な要素であるべきです。

インサイダー脅威の特徴

インサイダー脅威には、組織のアセットに関する知識やアクセス権を持つ信頼されている個人が関与する可能性があります。インサイダーには、従業員（現役および元従業員）、組織のメンバー、ベンダー、保管担当者、建設請負業者、会社の施設、機器、デバイス、またはコンピューターネットワークへの正規のアクセス権を持つ人が含まれます。

インサイダー脅威の定義

インサイダー脅威とは、人が、信頼される地位を利用し、重要なアセットの不正使用、盗難、または妨害行為を通じて組織に損害を与える可能性を指します。インフラストラクチャ、人員、機器が標的になる可能性もありますが、インサイダー脅威のリスクにさらされる主なアセットは情報です。専有情報、つまり知的財産 (IP) や機密データは収益性の高いアセットであるため、情報を管理するITネットワークやデータベースは特にインサイダー脅威に対して脆弱です。

貴重な情報リソースが侵害されると、広範囲にわたる損害が発生する可能性があります。データの機密性、整合性、アクセス性が失われると、費用がかかるだけでなく、組織の運営能力が低下する可能性があります。サイバー攻撃の中には、国土安全保障を脅かすものや、公衆衛生や安全を損なうものさえあります。

インサイダー脅威の種類

インサイダー脅威は、大きく分けて次の2つのカテゴリーに分類されます。

1. 意図しないインサイダー脅威は、害を及ぼす意図からではなく、不注意、過失、または間違った判断から生じます。会社のデバイスを紛失する、コンピューターのセキュリティ更新通知を無視する、公共の場で機密データにアクセスしたり議論したりする、施設の訪問者の身元を確認しないといったことは、意図しない脅威の例です。不明なハイパーリンクをクリックしたり、機密文書を共有プリンターに残したり、Eメールを間違ったアドレスに送信したりするなどの単純なミスは、意図的ではないだけでなく、当人が認識していない可能性のある偶発的な脅威です。
2. 悪意のあるインサイダー脅威には、害を及ぼす意図が伴います。インサイダーは、単独で行動する個人、または共犯者とともに行動する個人の場合があり、通常は金銭的利益または不当に認識されたことに対する報復によって動機付けられています。その他の悪意のあるインサイダー状況には、共謀が含まれる場合があります。このシナリオでは、サイバー犯罪者ネットワークや外国政府などの外部の敵対者が内部関係者を雇ったり、強要したりします。一般的なシナリオでは、知的財産や機密データの開示または売却が伴います。また、内部の脅威アクターが組織のデータを意図的に削除、変更、破壊したり、権限のない第三者に組織のネットワークやITシステムへのアクセスを提供したりする可能性があります。

外部の脅威

外部から発生し、組織のリソースに直接アクセスできないアクターによって実行されるサイバー攻撃は、インサイダー脅威とは見なされません。犯罪者は、正規のユーザーを利用して情報セキュリティファイアウォールを回避するのではなく、許可されたアクセスを必要としないハッキング方法を使用します。インサイダー脅威には分類されませんが、外部のサイバー攻撃者は、組織のデータネットワークに不正に侵入するための入り口として、内部関係者を本人が気づかないうちに標的にする場合があります。

注意すべき5つの一般的なインサイダー脅威の指標

行動の警告サインは、潜在的なインサイダー脅威の重要な指標です。デジタルフィンガープリントのパターンと、同僚や関係者から報告された観察結果の両方により、個人が潜在的な脅威として注目される場合があります。

脅威の指標

デジタル行動の異常は、人がインサイダー脅威である可能性を明らかにすることがあります。個人がインサイダーサイバーセキュリティリスクである可能性を示す5つの一般的な指標は次のとおりです。

• 未承認の個人用電子デバイスを組織業務で使用する
• 業務上の必要性を超えたドライブ、ドキュメント、またはアプリケーションへのアクセスの認証リクエスト
• 通常と異なる時間のログインまたはサイトアクセス
• データのダウンロードまたは転送を示す可能性のあるトラフィックの異常な急増
• 機密文書または専有文書への最近のアクセスパターン

脅威の検知

インサイダー脅威は信頼できる個人から発生するため、検知が難しいことで知られています。インサイダーは、貴重なアセットへのアクセス権をいつでも取得できたり、アクセスを承認されていたりするため、組織に多大な損害を与える可能性があります。潜在的な脅威の特定と調査が早ければ早いほど、侵害や組織への影響を防げる可能性が高くなります。データが侵害されると、組織への損害は取り返しのつかないものになる可能性があります。金銭的損失は場合によっては取り戻すことができますが、法的手続きに多大な時間と労力を費やす必要があります。IPの損失、評判の低下、競争力の喪失など、定量化または修復できない損失もあります。

潜在的なインサイダー脅威

行動観察によって、潜在的なインサイダー脅威が示される場合があります。協力者、上司、同僚、部下、その他の親しい関係者は、組織のアセットへのアクセスを許可された個人の特定の行動パターンに気づくことができる独自の立場にあります。従業員は、次のような脆弱性を示す可能性のある振る舞いを報告する責任があることを認識する必要があります。

• 組織のポリシー（出張、経費報告、安全、セキュリティ、文書化）の違反
• 同僚との対立や衝突
• 欠勤、遅刻や早退の習慣、予測不可能なスケジュール
• 信頼性の低さ、会議の欠席、締め切りの遅れ
• 経済、法律、医療、または家族のストレス要因によるパフォーマンスの低下
• 職業上の地位やキャリアの向上を喪失したと認識したことによる怒り

インサイダー脅威を検知する方法

悪意のある内部関係者による脅威を検知する組織の能力は、貴重なアセットを損失や侵害から保護するための鍵となります。インサイダー脅威プログラムを成功させるには、適切に設計された一連のツールとプラクティスが不可欠です。

インサイダー脅威検知ツールの選択

インサイダー脅威の警告サインを検知するプログラムでは、テクノロジーが主要な役割を果たします。これらのソフトウェアツールは、人工知能 (AI) とデータ分析を使用してアクティビティを監視し、パターンを特定し、異常が発生したときにアラートを発します。例えば、次のようなものがあります。

• UAM（ユーザーアクティビティ監視）
• UEBA（ユーザーとエンティティの振る舞い分析）
• データ損失防止（DLP）
• SIEM（セキュリティ情報およびイベント管理）

これらのツールは強力ですが、特定の脅威検知の目標に合わせて調整する必要があります。組織のニーズは、業界の環境、文化、内部ポリシー、そしてもちろん重要なアセットによって異なります。脅威検知ツールを慎重に選択し、特定の環境に合わせて調整しなければ、必ずしも異常とバックグラウンドアクティビティを区別できるとは限りません。既存の脅威が検知されない場合や、フォールスポジティブアラートが大量に発生する場合があります。いずれの場合も、検知システムに対する組織の信頼が損なわれ、必要な保護を提供できなくなります。

インサイダー脅威防御のベストプラクティス

ITは組織のあらゆる部分に関わっているため、インサイダー脅威の防御は、全体的な企業リスク管理の一環としてアプローチするのが最適です。すべてのデータエコシステムは固有であるため、防御戦略は特定の状況に合わせて調整する必要があります。

防御における重要な最初のステップは、エンティティの主要なアセットを特定して理解することです。アセットの種類、リスクのランク、ユーザーアクセスに関する情報など、すべてのITアセットの詳細なデータベースを作成します。このプロセスにより、組織のIT状況の全体像を把握し、監視するために採用すべきツールの種類についてのインサイトを得ることができます。

さらに、適切なメトリックを生成し、特定のIT環境内のパターンを特定し、異常な信号を検知できる分析ツールを選択します。アセットへのアクセスを業務に必要な最小限の人数に制限し、MFA（多要素認証）を採用し、管理権限を厳しく制限します。アセットインベントリの進化に合わせて構成と設定を定期的に見直し、最適化されていることを確認します。

脅威防御への技術的アプローチは、必要ではありますが、解決策の一部にすぎません。脅威防御プログラムを成功させるには、従業員の関与も不可欠です。ITアセット保護のビジネスニーズを明確に伝え、データを保護するための個人の責任について従業員を教育します。トレーニングモジュールは、従業員が潜在的なインサイダー脅威を認識し、それらを報告するための適切な手順を理解するのに役立ちます。

脅威監視への積極的な関与を促進するために、行動に関する報告者の尊重とプライバシーへの取り組みを強調します。ポリシーの更新、アンケート、ユーザー事例などの定期的なリマインダーを使用して、インサイダー脅威に対する認識を高め、セキュリティを優先する文化を醸成します。

早期検知の重要性

チームがインサイダー脅威を早期に検知できればできるほど、サイバーセキュリティの侵害とその結果を未然に防げる可能性が高くなります。すでに侵害が発生している場合でも、早期に検知することで被害を最小限に抑えることができます。攻撃が進行中の場合、データの流出を食い止め、責任者を特定して認証情報を取り消すことができ、イベントの分析と修復をすぐに開始できます。

インサイダー脅威評価の実行

インサイダー脅威を疑う理由がある場合は、脅威の効力と組織に対する潜在的なリスクを評価するために、直ちに行動を起こす必要があります。

インサイダー脅威評価の定義

分析ツールや人事報告チャネルを通じてインサイダー脅威の可能性が特定された場合、真のリスクがあるかどうかを判断し、次の行動手順を決定するために評価する必要があります。これが遅れると、防御と事後のダメージコントロールの違いになる可能性があります。脅威評価プログラムを積極的に確立すれば、状況に効率的かつ効果的に対処する準備ができ、脅威が顕在化して深刻な損害をもたらす可能性を最小限に抑えることができます。

インサイダー脅威評価の実施方法

セキュリティ、IT、人事、法務の各部門の代表者を含む脅威管理チームを編成し、潜在的なインサイダー脅威指標に迅速に対応できるように準備します。潜在的な脅威が特定された場合、チームは内部関係者の行動、考えられる意図や動機、損害を引き起こす能力に関する情報を収集して分析する必要があります。この分析から、チームは懸念に根拠がないと結論付ける場合があります。懸念が正当であると判断された場合、リスクレベルによって、慎重な行動方針として従業員をさらに注意深く監視するか、即時に介入するかが決まります。インサイダー脅威の評価では、合法性とプライバシーに関する懸念を最優先に考える必要があります。

クラウドストライクによる検知ソリューション

クラウドストライクの使命は、インサイダー脅威管理に必要なリソースを提供することです。当社のクラウドベースのソリューションを使用すると、組織のITアセット環境に合わせてカスタマイズされた堅牢な防御策と緩和策を構築できます。

組織のアセットを保護するための第一歩は、インベントリを作成することです。クラウドストライクは、開始するのに役立つように、CrowdStrike Falcon®プラットフォームに新たに追加されたAsset Graphを導入しました。このツールは、組織内のすべてのITアセットを検出してカタログ化し、それらの相互に関連する関係を理解し、潜在的な脆弱性を明らかにするのに役立ちます。検索と可視化のオプションにより、ITセキュリティチームはデータを抽出して評価し、組織固有のビジネスニーズに対応できます。

保護する必要のあるアセットを特定したら、インサイダー脅威を検知および軽減するためのフレームワークを作成するのに役立つツールとして、テクニカルリスク評価、侵害調査、ネットワークセキュリティ監視サービスを利用できます。

情報は組織の生命線です。クラウドストライクの包括的な情報セキュリティソリューションを活用して、インサイダー攻撃から情報を守りましょう。