インサイダー脅威を軽減する方法：小規模企業向け戦略

インサイダー脅威を軽減する方法：小規模企業向け戦略

サイバーセキュリティに関するほとんどの議論は、外部からの脅威、つまりマルウェアランサムウェア、ウイルスを使って組織に侵入し、データを盗んだり業務を妨害したりするハッカーやサイバー犯罪者に焦点を当てています。しかし、企業内部から発生するリスクについてはどうでしょうか。すでに自社のシステムやデータへのアクセス権を持っている不正な従業員、ベンダー、サプライヤーからビジネスを守るにはどうすればよいでしょうか。

この記事では、インサイダー脅威について詳しく見ていきます。インサイダー脅威とは何か、どのように特定するのか、そしてこの深刻な脅威からビジネスをより効果的に保護するためにどのような対策を講じればよいかを解説します。

インサイダー脅威とは

インサイダー脅威とは、組織内部の人物に起因するサイバーセキュリティリスクのことです。これには、現従業員、元従業員、ベンダー、請負業者、フリーランスの従業員、あるいは会社のコンピューターネットワーク、システム、データへのアクセス権を持つすべての人が該当します。

インサイダー脅威は、その人物の意図に基づいて、主に次の2つのカテゴリに分類できます。

1. 悪意：個人が積極的かつ意図的に会社に損害を与えようとする脅威。通常、こうした攻撃は金銭的利益や復讐が動機となります。例えば、不当な扱いを受けたと感じている販売員が、販売リードのリストを盗み、その情報を新しい職務で個人的に使用したり、競合他社に売却したりする場合などです。
2. 過失：個人が不注意や判断ミスにより意図せずセキュリティリスクを生み出す脅威。過失によるインサイダー脅威の一般的な例としては、会社のデバイスの紛失または置き忘れ、コンピューターのセキュリティ更新通知の無視、公共の場所での機密データへのアクセスや議論、施設訪問者のアイデンティティ確認の怠りなどが挙げられます。これらの行為は意図的ではありませんが、その結果は悪意のあるアクターによるものと同じくらい深刻になり得ます。

インサイダー脅威を検知するのが難しい理由

インサイダー脅威は、検知と防止が最も難しいサイバーセキュリティ脅威の1つです。これには主に2つの理由があります。

1. ほとんどのセキュリティツールとソリューションは、外部の脅威の特定と防止に重点を置いており、承認されたユーザーの不審な振る舞いを検知するようには設計されていません。
2. 多くの内部アクターは、組織のネットワーク設定、セキュリティポリシー、手順に精通しているため、検知を回避しやすくなります。また、悪用可能な脆弱性、ギャップ、その他の欠陥を知っていることもあります。

SMBによくある3つのインサイダー脅威

インサイダー脅威は、さまざまな人物から発生する可能性があります。このセクションでは、企業内でインサイダー脅威がどのように顕在化するかを詳しく見ていきます。

1. 不注意または意欲の低い従業員

多くのサイバーセキュリティ攻撃と同様、インサイダー攻撃においても、人為的ミスは共通要因となります。

前述のとおり、過失によるインサイダー脅威は、とは、人為的ミス、不注意、または操作によって発生する脅威です。これらの脅威には悪意を持って行動する人々が関与しないため、誤って機密データを共有したり、脆弱なパスワードを使用したり、未承認のアプリケーションをインストールしたり、機密資料を置き忘れたり、ソーシャルエンジニアリング攻撃の犠牲になったりすれば、事実上誰でも（会社のリーダーでさえも）攻撃の起点になり得ます。

過失によるインサイダーインシデントは、通常、マルウェア、ランサムウェア、またはフィッシングが関与する可能性のある大規模なサイバー攻撃の一部です。こうした攻撃の多くは人間の感情に付け込み、緊急性や権威を装ってパスワードのリセットや重要ファイルの送信を要求し、個人が反応する可能性を高めます。これらの手法は後から見れば明らかに見えても、サイバー犯罪者はその手腕に非常に長けており、非常に執拗であることを覚えておくことが重要です。彼らは、悪用できる弱点を見つけるまで攻撃を続けます。

2. 悪意のあるアクティビティ

前述のとおり、悪意のあるインサイダー攻撃は、通常は不満を抱いた現従業員または元従業員が主導する計画的なイベントです。多くの場合、これらのインシデントは、詐欺、スパイ活動、データ窃取など、より広範で深刻な違法行為の一部です。悪意のあるインサイダーは単独で活動する場合もありますが、サイバーテロ集団、外国政府機関、またはその他の敵対的組織による恐喝やゆすり行為の対象になっていることも多いため、インサイダー自身がある種の被害者である場合もあります。

悪意のあるインサイダー脅威には、一般的に、次のものが含まれます。

• 機密データまたは機密情報の共有、販売、変更、削除
• システムアクセスやログイン認証情報の不正使用または共有
• 他者が検知されずに侵入したり、滞在したりできるようにIT環境を変更する

どの企業も悪意のあるインサイダーの犠牲になる可能性はありますが、小規模企業の分野ではやや少ない傾向にあります。これは、大規模組織に比べて従業員の規模が小さく、より密接に統合されている傾向があるためです。このため、特定のシステムまたはファイルへの根拠のないアクセス要求などの警告サインや異常なアクティビティを特定しやすくなります。こうしたアクティビティは、大規模な組織では、多くのITマネージャーが全従業員の役割や責務を把握していないために見過ごされてしまう可能性があります。そうは言っても、悪意のある脅威を防ぐことは重要な考慮事項です。特に、ビジネスで医療記録や財務情報などの顧客データを扱っている場合や、高度な保護を必要とする重要な企業秘密や知的財産を保有している場合はなおさらです。

3. サードパーティベンダー

小規模企業にとってのもう1つの一般的なリスクは、サードパーティネットワークにあります。会計、事務、IT、さらにはビル管理業務などの一般的な業務や機能をアウトソーシングしている企業は、それらの人々が仕事の一環として会社のデータ、ネットワーク、サービスにアクセスできるため、意図せず新たなレベルのリスクを持ち込んでしまう可能性があります。

さらに、請負業者、フリーランサー、ベンダー、またはパートナーは、リスクの特定および防止に関して同じトレーニングおよび開発プログラムを受けていないことが多いため、過失によるインサイダー攻撃の可能性がさらに高まる可能性があります。そして、組織の拡張ネットワーク内の人は、会社の成功に当事者意識を持っていなかったり、従来型の従業員ではないため自分の行為が検知されないと考えていたりする場合、悪意ある行動に出る可能性が高いかもしれません。

小規模企業はどうすればインサイダー脅威を軽減できるか

インサイダー脅威からビジネスを保護することは、あらゆるサイバーセキュリティ戦略の重要な部分です。ここでは、インサイダー脅威のリスクを軽減するために企業が実行できる具体的な手順をいくつか確認していきます。

サイバーセキュリティの意識向上と優先順位付けの文化を浸透させる

小規模企業におけるインサイダー脅威の多くは実際には過失によるものであるため、この問題に対処する最も効果的な方法の1つは、サイバーセキュリティの意識向上の文化を築くことです。これは、個人が犯す一般的なミスや無責任な振る舞いの可能性を減らすのに役立つだけでなく、他者による悪意のあるアクティビティを特定する助けにもなります。これを実現するためには、4つの方法があります。

1. 従業員に対して包括的なサイバーセキュリティトレーニングを提供する

サイバーセキュリティの文化を築くには、まず、教育が必要です。自分が認識していないリスクから自分自身やビジネスを守ることはできません。そのために、企業は、従業員が会社のセキュリティポリシーを遵守し、リスクのあるアクティビティを特定することを支援する堅牢なトレーニングプログラムを開発する必要があります。

サイバーセキュリティトレーニングプログラムには、以下の要素を含める必要があります。

• マルウェア、フィッシング、その他のソーシャルエンジニアリング攻撃などの一般的なサイバーセキュリティの脅威を理解すること。
• 推測や解読が難しい強力で複雑なパスワードを設定し、定期的に変更することで、パスワード攻撃や認証情報の窃取を防止すること。
• 暗号化の利用と定期的なバックアップの実施を通じて、データの紛失、窃取、または不正使用を防ぐこと。
• 組織から提供されたセキュリティツールをインストール、更新することで、モバイルデバイス（個人用デバイスを含む）を保護すること。
• 会社のデバイスおよび企業ネットワークを使用する際に許容されるソーシャルメディアアクティビティに関するガイドラインをまとめること。多くのサイバー犯罪者はソーシャルメディア経由で情報を収集し、情報に基づいてパーソナライズされた攻撃を実行するため、これはソーシャルエンジニアリング攻撃のリスクを軽減するのに役立ちます。
• マネージャー、ITスタッフ、リモートワーカー、ベンダー、サプライヤー、請負業者などの特定の対象者に合わせた、カスタマイズ可能なトレーニングモジュールとレッスンを開発すること。

2. サイバーセキュリティポリシーを確立して適用する

従業員向けトレーニングプログラムの多くは、組織が何を安全で許容可能な利用と見なすかを指針にして実施されることになります。そのため、セキュリティの文化を築くためのもう1つの重要な部分は、企業のサイバーセキュリティポリシーを確立して適用することです。ポリシーには次のような要素を含めることができます。

• 組織内の従業員による使用をホワイトリストに登録する、または使用が承認されているソフトウェア、プログラム、およびインターネットソースを文書化すること。
• 従業員とベンダーが企業デバイスや企業ネットワークをいつ、どこで、どのように使用できるか、また、企業ネットワーク上で個人用デバイスを業務目的で使用する場合の明確なガイドラインを開発すること。
• 機密データの管理方法と使用方法、および（組織内であっても）そのようなデータを共有する際に実行する必要がある手順について明確なプロトコルを確立すること。
• 厳格に禁止されているアクティビティを明示的に記載すること。例えば、企業は、大抵の場合、ライセンスのない、または承認されていないソフトウェアやアプリケーションのインストールを禁止するポリシーを規定する必要があります。
• リモートワークポリシーを作成すること。これには、個人が自宅ネットワークおよび同じネットワークを使用するすべての個人用デバイス（家族が使用するデバイスやIoT（モノのインターネット）技術を使用する家庭用デバイスを含む）を保護するために取るべき手順を含めます。

3. サイバーセキュリティ意識向上のためのインセンティブプログラムを導入する

一部の企業では、トレーニングの完了、クイズの合格、模擬攻撃発生時の適切なプロトコルの遵守、または疑わしい振る舞いの報告に対してちょっとした報酬を提供することで、サイバーセキュリティポリシーの遵守を奨励することが有用である場合があります。このようにセキュリティの「ゲーミフィケーション」によって、より魅力的なセキュリティ文化が生まれ、従業員は常にセキュリティを最優先事項として考えるようになります。

4. 厳格なオフボーディングプロセスを実施する

悪意のあるインサイダー脅威は元従業員によって引き起こされることが多いため、従業員が退職した時点でその従業員のアカウントとアクセス権を停止するための迅速な措置を講じることが重要です。これにより、不満を持つ従業員や退職した従業員によってもたらされるリスクを大幅に軽減できるはずです。

オフボーディングプロセスの一環として、組織内の他のメンバーに対し、この人物と業務関連のやり取りを行わないように通知することも賢明かもしれません。例えば、元従業員がかつてのチームメイトに連絡し、作業サンプルとして使用するためのファイルやEメールを収集する、あるいは置き忘れた個人用ファイルを入手するなどの理由でアカウントの再有効化を依頼することがあります。現従業員は、このような依頼に応じるべきでなく、マネージャーまたはスーパーバイザーに転送して対応してもらう必要があります。いかなる状況においても、元従業員のアカウントを復旧したり再アクティブ化したりしてはなりません。たとえそれが上級役員からの要請であってもです。

プロアクティブにモニタリングを行う

多くのサイバー攻撃と同様に、インサイダー脅威はできるだけ早く特定することが重要です。AI（人工知能）やML（機械学習）を活用したハイテクなモニタリングツールは、企業が標準的な使用パターンからの逸脱に基づいて攻撃の早期警告サインを検知するのに役立ちます。

モニタリングツールは企業にとって大きなアセットとなり得ますが、適切に設定して調整するためには相当な時間と注意が必要です。そのため、信頼できるサイバーセキュリティパートナーと協力して、企業のニーズに基づいた最適なツールとテクノロジーを特定し、それらのツールを企業に正しく実装することが重要です。

1. イベントを迅速に特定し、優先順位を付ける

サイバーセキュリティパートナーが支援できるもう1つのアクションは、イベントへの対応作業に優先順位を付けることです。勤務時間外の頻繁なログインなどの一部の指標は、悪意のあるインサイダーが活動している兆候かもしれませんが、同時に、従業員が重要な会議の準備をしていたり、子供の病気などの個人的な事情で変則的な時間に働いていたりするだけということもあります。

そのために、一部のサイバーセキュリティベンダーは、クライアントが従業員の個別のリスクスコアを作成するのを支援できます。これは、従業員の役割、オンラインアクティビティ、アクセスレベルなどの幅広い要因を考慮に入れ、各個人がビジネスに対してどの程度のリスクをもたらすかを判断するものです。これは、インサイダー脅威の調査と対応作業に優先順位を付ける際に非常に役立ちます。

2. インサイダー脅威の指標に注意する

インサイダー攻撃のリスクを軽減する最も効果的な方法の1つは、従業員の振る舞いに既知の脅威指標がないかモニタリングすることです。次のような指標は危険信号です。

• IT部門と調整することなく、電話やラップトップなどの新しい未承認の個人用デバイスを使用している
• 従業員が以前は必要としていなかったドライブ、ドキュメント、またはアプリケーションへのアクセス要求を提出している
• 会社のセキュリティツール、ポリシー、または手順に対して、これまでとは異なる、あるいは異常な関心を示している
• リモートまたはオンサイトで、変則的または通常と異なる時間に作業している
• データのダウンロードや転送を示す可能性のあるネットワークトラフィックの急増に関与している

適切なITハイジーンを維持する

最後に、他の攻撃タイプと同様に、強力なITハイジーンを実践することは、インサイダー脅威からビジネスを保護し、そもそも潜在的な不正アクターを抑止するのに大きな効果があります。

1. 継続的にデータをバックアップする

データ侵害は業務運営に大きな混乱をもたらす可能性があるため、攻撃が発生した場合でも確実に事業を継続できるよう、すべての機密データと重要なシステムを定期的にバックアップすることが重要です。

大量のデータを保有する組織は、サイバーセキュリティパートナーと協力して、カスタマイズされたDLP（データ損失防止）プログラムを開発することができます。DLPは、インサイダーによるものも含め、あらゆる手段によるデータの損失、漏洩、悪用を検知して防御することに重点を置いた、企業の包括的なセキュリティ戦略の一部です。

2. 機密データへのアクセスを制限する

従業員は、業務遂行に必要なデータとシステムにのみアクセスできるようにするべきです。一般的なルールとして、組織は人材のオンボーディング時に最低限のアクセス権限を付与し、必要に応じて権限を追加していく必要があります。また、従業員のアクセス権を定期的に評価し、その人の役割において不要になったアクセス権は削除することも重要です。これにより、データの窃取や悪用の可能性を抑制するだけでなく、侵害や攻撃が発生した場合に調査が必要なアカウントの範囲を限定することができます。

3. 攻撃者による脆弱性の悪用を防ぐためにソフトウェアを頻繁に更新する

あらゆる種類のサイバー攻撃から組織を守るためのもう1つの非常に効果的な方法は、すべてのオペレーティングシステムとソフトウェアを最新の状態に保つことです。これは、デバイス、システム、ネットワークを直接保護するだけでなく、攻撃者が侵害の際に利用しようとする脆弱性を制限する効果もあります。

ITチームはソフトウェアの更新やパッチ適用に関して特定のプロトコルとスケジュールに従う必要がありますが、この情報を全従業員と共有する必要はありません。実際には、組織の更新計画やセキュリティ対策の共有は、そのタスクや問題に対処する担当者のみに限定しておくのが賢明です。

従業員の満足度を優先する

多くの小規模企業には、特定のインサイダー脅威検知ツールやサービスに投資する予算がない場合もあるため、ビジネスを保護する最も重要な方法の1つは、前向きで魅力的な職場環境を育むことです。

従業員が支援され尊重されていると感じていれば、会社に積極的に害を与えたいと考える可能性が低くなります。さらに、会社の将来に当事者意識を持っていれば、会社の成長を助け、悪意のあるアクティビティから会社を守るための措置を講じる可能性が高くなります。

会社がすべての従業員に良い経験を保証することはできませんが、より公平で公正な職場環境を作るために実行できる明確なステップはいくつかあります。これには、次のようなものがあります。

• 正式な業績評価サイクルを1回以上実施する
• 問題を特定し、説明責任の文化を築くために、全従業員とそのマネージャーの間で定期的な1対1のミーティングを設定する
• 従業員が報復を恐れることなく懸念や問題を提起できる明確なチャネルを確立する
• 従業員に休暇や休日の取得を奨励する
• 従業員と協力して、健全なワークライフバランスを実現するための境界線の設定を支援する

クラウドストライクをお試しになる準備はできましたか？Falcon Goの15日間無料トライアルを開始し、ランサムウェア、マルウェア、巧妙なサイバー攻撃からビジネスを守りましょう。

無料で試す