インサイダー脅威とは

インサイダー脅威とは、組織の内部から発生するサイバーセキュリティリスクであり、通常、現在や過去の従業員、または企業ネットワーク、機密データ、知的財産 (IP) に直接アクセスできる人物、およびビジネスプロセス、企業ポリシー、またはそのような攻撃の実行に役立つその他の情報に関する知識を持つ人物によって引き起こされます。

通常、攻撃が本質的に悪意のあるものである場合、内部関係者は金銭的な動機でそのような活動を主導したり、加担したりします。これらの攻撃には通常、ダークウェブで販売できるデータ、IP、企業秘密の窃取や、敵対的な第三者のための情報収集が含まれます。

インサイダーの定義

インサイダーとは、企業とその仕組みについて深い知識を持っている個人のことです。最も一般的には、インサイダーは現在または以前の従業員ですが、請負業者、フリーランスの従業員、ベンダー、パートナー、さらにはサービスプロバイダーでさえ、組織のネットワークやシステムにアクセスできる場合、またはそれらに関する知識を持っている場合、インサイダーとして行動する可能性があります。

インサイダー脅威を検知するのが難しい理由

今日、インサイダー脅威は、悪意のあるものであれ、過失によるものであれ、対処するのが難しく、検知するのはさらに難しくなっています。実際、Ponemon Instituteは、インサイダー脅威インシデントを封じ込めるのにかかる平均時間は77日、30日間の平均コストは712万米ドルと推定しています。

内部関係者による攻撃を検知するのが難しい主な理由は2つあります。

1. ほとんどのセキュリティツールとソリューションは、外部の脅威の特定と防止に重点を置いており、正当なユーザーによる不審な振る舞いを検知するようには設計されていません。
2. 多くの内部アクターは、組織のネットワーク設定、セキュリティポリシー、手順に精通しており、悪用される可能性のある脆弱性、ギャップ、その他の欠点に関する知識を持っています。

インサイダー脅威を封じ込めるための莫大なコストと、インサイダー脅威がもたらす可能性のある評判の低下を考慮すると、企業はこの重大リスクに対処するために特別に設計された堅牢なインサイダー脅威プログラムを開発する必要があります。

インサイダー脅威の種類

インサイダー脅威は、通常、次の2つの主要なカテゴリーに分類されます。

1. 悪意のあるインサイダー脅威
2. 過失によるインサイダー脅威

悪意のあるインサイダー脅威

悪意のあるインサイダー脅威は、通常、不満を抱いていたり、侵害を受けたりした現在または以前の従業員が、個人の金銭的利益のため、または復讐の手段として会社を標的にする計画的な行為です。これらのインシデントは通常、詐欺、スパイ活動、データやIPの窃取など、より広範な犯罪行為や違法行為に関連しています。悪意のあるインサイダーは、単独で行動することもあれば、サイバー犯罪者、サイバーテロリストグループ、外国政府機関、その他の敵対的な組織と共謀して行動することもあります。

悪意のあるインサイダー脅威には、一般的に、次のものが含まれます。

• 機密データまたは機密情報の共有、販売、改ざん、削除
• システムアクセスまたはログイン認証情報の不正使用
• 他者が検知されずに侵入したり、滞在したりできるようにIT環境を変更する

過失によるインサイダー脅威

過失によるインサイダー脅威とは、人為的ミス、不注意、または操作によって発生する脅威です。これらの脅威には悪意を持って行動する人々が関与しないため、誤って機密データを共有したり、脆弱なパスワードを使用したり、デバイスを紛失したり、エンドポイントの保護に失敗したり、ソーシャルエンジニアリング攻撃の被害にあったりした場合、事実上誰でも過失のあるインサイダーとなる可能性があります。

過失によるインサイダーインシデントは通常、マルウェア、ランサムウェア、その他の攻撃ベクトルが関与している可能性のある大規模なサイバー攻撃の一部です。

インサイダー脅威の技術的指標

従来のセキュリティアプリケーションは、悪意のあるインサイダー脅威を検知するように設計されていないこともあり、悪意のあるインサイダー脅威を適切に検知しません。多くの場合、これらのアプリケーションはルールとしきい値に従い、パターンマッチングに基づいて調整されています。これらの保護手段は、会社のセキュリティ設定、ポリシー、手順を熟知している人によって回避される可能性があります。

最新のインサイダー脅威検知システムは、人工知能 (AI) と分析を組み込んで、企業全体からさまざまなデータを引き出すことで、すべてのユーザーとデバイスのアクティビティのベースラインを確立します。最も堅牢なソリューションは、このデータを使用して、ユーザーとデバイスごとにカスタマイズされたリスクスコアを割り当てることで、サイバーセキュリティチームがシステム内のアラートを確認する際に追加のコンテキストを提供します。インサイダー脅威検知システムは、内部関係者による不正行為を示す可能性のある異常な行動をプロアクティブに特定します。

異常な行動には次のものがあります。

• ネットワーク、システム、アセットへの通常とは異なる時間のアクセス。アセットの不正使用やユーザーの認証情報の侵害を示す可能性があります。
• ネットワークトラフィックの予期しない原因不明の急増。ユーザーがデータをダウンロードまたはコピーしている兆候である可能性があります。
• 自分のロールに必要のないアプリケーション、データ、またはドキュメントへのアクセス要求。
• 特定のドキュメントまたはデータの組み合わせへのアクセス。それらを総合すると、不正な活動を示している可能性があります。
• ノートパソコン、携帯電話、USBドライブなどの個人用デバイスをIT部門の承認なしに使用すること。

異常な行動に加えて、組織は、インサイダー脅威または他の種類のサイバー攻撃の兆候である可能性があるネットワーク指標を探すこともできます。インサイダー脅威の指標には次のものがあります。

• ネットワーク内のバックドアの存在。これにより、権限のないユーザーによるリモートアクセスが可能になる可能性があります。
• ITまたはセキュリティチームによって承認、インストール、監視されていないハードウェアまたはソフトウェアのダウンロード。これにより、デバイスが危険にさらされる可能性があります。
• セキュリティツールと設定の手動による無効化。

インサイダー脅威のリスクにさらされるのは誰か

定義上、「インサイダー」がいる組織は、インサイダー脅威の被害にあう可能性があります。ほとんどのサイバーセキュリティツールとソリューションは、通常、組織の外部で発生する脅威に焦点を当てており、内部アクターは会社のセキュリティ手順とシステムの脆弱性に精通しているため、インサイダー脅威から企業を保護することは、他の種類の攻撃から保護するよりも難しくなる可能性があります。

特に、大量の顧客データ、IP、企業秘密を保有する組織は、インサイダー脅威に起因するデータ侵害や窃取の主要な標的になる可能性があります。同時に、一部のインサイダー脅威、特に外部アクターと連携するインサイダー脅威は、スパイ活動やその他の情報収集手法に関連しており、国家、外国政府、またはその他の第三者が被害者を危険にさらしたり、会社を恐喝したり、評判を傷つけたりするために使用する可能性があります。

インサイダー脅威の影響を受けやすい業界には、次のようなものがあります。

• 銀行、信用組合、クレジットカード発行会社、貸金業者などの金融サービス組織
• 保険会社
• 通信事業者
• エネルギーおよび公益事業会社
• 製造会社
• 製薬会社
• 医療機関と病院
• 政府機関と政府高官

インサイダー脅威によるデータ侵害の実際のコストに加えて、企業が消費者、従業員、または患者のデータを保護するための十分な措置を講じなかった場合、そのような事態では政府機関またはその他の監視グループから罰金やその他の罰則が科される可能性もあることに注意することが重要です。

インサイダー脅威を防止および阻止する方法

従来のセキュリティ対策では通常、内部関係者の行動を監視しないため、組織はこのリスクから身を守るために特別な措置を講じる必要があります。

過失によるインサイダー脅威からの保護

企業レベルでは、過失によるインサイダー攻撃からの保護は、マルウェア、ランサムウェア、その他のサイバー脅威からの保護と同様です。業務の安全を確保するには、以下のベストプラクティスに従ってください。

1. サイバーセキュリティのベストプラクティスについてすべての従業員をトレーニングする

従業員はセキュリティの最前線にいます。従業員が使用するすべてのデバイスにおいて、強力なパスワード保護を使用している、安全なWi-Fiにのみ接続している、フィッシング攻撃を常に監視しているなど、適切なハイジーン慣行に従っていることを確認してください。包括的かつ定期的なセキュリティ意識向上トレーニングセッションを提供して、進化する脅威の状況を把握し、インサイダー脅威とその他のサイバーリスクから自分や会社を保護するために必要なステップを実施できるようにします。

2. オペレーティングシステムやその他のソフトウェアにパッチを適用し、最新の状態に保つ

ハッカーは、悪用できるセキュリティの穴やバックドアを常に探しています。システムをこまめに更新することで、既知の脆弱性への露出を最小限に抑えることができます。

3. 悪意のあるアクティビティと攻撃の痕跡 (IOA) を検知するために環境を継続的に監視する

EDR（エンドポイント検知・対応） システムですべてのエンドポイントを監視し、生イベントをキャプチャして、防御手法では特定できない悪意のあるアクティビティを自動的に検知します。

4. 脅威インテリジェンスをセキュリティ戦略に統合する

システムをリアルタイムで監視し、最新の脅威インテリジェンスに遅れずについていくことで、ネットワークのセキュリティを向上させ、攻撃を迅速に検出し、最善の対応方法を理解し、拡散を防ぎます。

悪意のあるインサイダー脅威の防止

クラウドストライクは、すべての侵害の80%が侵害されたアイデンティティを使用していると推定しているため、悪意のあるインサイダー攻撃から保護するために組織が実行できる最も重要な手順の1つは、アイデンティティセキュリティを向上させることです。

アイデンティティセキュリティがインサイダー脅威の防止に役立つ方法

アイデンティティセキュリティは、企業内のあらゆるタイプのアイデンティティ（人員や機器、オンプレミスやハイブリッド、通常IDや特権付きID）を保護し、特に内部関係者を含む攻撃者がエンドポイントのセキュリティ対策をバイパスしようとする際にアイデンティティを使用した侵害を検知して防止するための包括的なソリューションです。

IT管理者、従業員、リモートワーカー、サードパーティベンダー、さらには顧客も含めて、どのアカウントも特権アカウントになって攻撃者のためのデジタル攻撃パスを生成することが可能であるため、組織はすべてのアイデンティティを認証し、リクエストをそれぞれ承認してセキュリティを維持し、インサイダー脅威、ランサムウェア、サプライチェーン攻撃などのデジタル脅威を幅広く防止する必要があります。

アイデンティティセキュリティを向上させるための主な手順は次のとおりです。

1. Active Directory (AD) を保護する

AD（オンプレミスとクラウドの両方）をリアルタイムで完全に可視化できるようにして、シャドー管理者、古いアカウント、共有されている認証情報、その他ADに対する攻撃パスを特定します。

認証トラフィックとユーザーの振る舞いを監視することでADのセキュリティを強化し、リスクを低減します。また、堅牢なセキュリティポリシーを適用して異常をプロアクティブに検知します。

すべてのユーザーアカウントとサービスアカウントの動的リスクスコアを使用して、脆弱な認証情報、アクセスの逸脱、パスワードの侵害に対する継続的モニタリングを可能にします。

2. MFA（多要素認証）セキュリティを拡張する

管理対象外のエンドポイントをリスクベースの条件付きアクセスで保護し、ユーザーの振る舞いと認証トラフィックに関する独自の分析を使用して、MFAによる保護をレガシーアプリケーションやツールに拡張します。

統一されたリスクベースのポリシーを適用して、すべてのアイデンティティ認証を自動的にブロック、許可、監査、またはステップアップします。

3. ユーザーアクティビティのベースラインを作成する

アクセス、認証、エンドポイントなど、すべての関連データログにおけるユーザーのアクティビティと振る舞いを一元化します。

このデータを利用して、個々のユーザー、ユーザーグループ、機能、役職、デバイスのアクティビティのベースラインを作成し、異常または不振なアクティビティの特定に役立てることができます。

カスタマイズされたリスクスコアを各ユーザーとエンドポイントに割り当てて、サイバーセキュリティチームに追加コンテキストを提供します。

4. 振る舞い分析とAIを利用して脅威を特定する

分析とAI対応のツールを利用して、ユーザーやデバイスの振る舞いをリアルタイムで監視します。

アラートとリスクスコアとの相互参照を行ってイベントに追加コンテキストを提供し、対応作業に優先順位を付けます。

CrowdStrike Falcon®プラットフォームによるインサイダー脅威の排除

CrowdStrike® Falconプラットフォームは、組織のすべてのユーザーとそのアセット全般に対して、リアルタイムで継続的な可視性とセキュリティを提供します。クラウドストライクは、市場に出回っている他のソリューションとは異なり、IAM（アイデンティティおよびアクセス管理）の統合、ゼロトラスト原則、ADハイジーンなど、包括的なセキュリティ戦略の確立を支援します。当社の差別化要因には、IAM統合、堅牢なADセキュリティ、ゼロトラストNISTコンプライアンス、リスク評価、オープンAPIファーストプラットフォームなどがあります。

クラウドストライクがインサイダー脅威から組織を保護する方法の詳細については、CrowdStrike Falcon® Next-Gen Identity Security機能のデモをリクエストしてください。