海外ブログ

内部脅威の理解と対策

2022.02.21

2022年2月4日、Tony Burgess

「内部脅威」という言葉を聞くと、不満を抱えた社員が鬱憤を晴らすためにシステムを破壊したり、会社に危害を加えたりすることをすぐに思い浮かべる人が多いと思います。そのような悪意のある内部関係者は、内部脅威における問題の重要な要素であることは間違いありません。しかしセキュリティの観点からは、こうした内部脅威がどのように構成されているかをより広く包括的に理解する必要があります。内部脅威の種類を明確に把握することで、その脅威に対してより効果的な戦略を立案し、実行することができます。

悪意のある内部関係者

まず、悪意のある内部関係者について詳しく見ていきましょう。確かにこれには、会社に恨みを抱いている人たちも含まれます。例えば、従業員が昇進を見送られたと感じたりした場合です。

このように憤りを感じた従業員が会社に損害を与えるような行動を自ら意図的に取ることもありますが、外部の脅威者からランサムウェア攻撃やその他の脅威を行うため助けを求められることもあります。実際、2021年から2022年初頭にかけてHitachi IDが収集したデータによると、調査対象の経営者の65%が、自身もしくは自身の企業に勤める従業員がランサムウェア攻撃の計画支援を持ちかけられたことがあると回答しています。特にコロナ禍に入って以降、定期的に行われている調査でこの数字は右肩上がりになっています。

従業員がソーシャルメディアで不満をこぼした場合、外部のハッカーから接触される可能性が特に高いと推定してよいでしょう。つまり、不満を持つ従業員が高度な技術を使ったサイバー攻撃を遂行するために特別な技術やノウハウを熟知している必要はないということです。

また、自分のキャリアアップのために常にチャンスを伺っている野心的な従業員が情報を盗んだり、他の従業員のプロジェクトを妨害したりする場合もあります。

最後に、悪意のある内部関係者は産業スパイに加担し、単に金銭的な理由で競合他社に機密情報を売り渡すこともあります。自分自身でそうしたスパイ行為を始めることもあれば、競合他社からのオファーに応じる場合もあります。

ずさんな内部関係者

他には、内部関係者の過失もあります。この中には、気が散ってしまったことが理由でセキュリティ手順やポリシーに違反してしまうことや、セキュリティプロトコルについて従業員が訓練を受けていないこと、セキュリティ手順を不要と考える、もしくはあまりに面倒くさいと思って無視してしまうケースが含まれます。

侵害された内部関係者

最後になりますが、実に重大なのは内部関係者への侵害です。多くの場合、こうした従業員というのはフィッシング詐欺の被害に遭い、自分のコンピュータにマルウェアをダウンロードしたり、知らないうちに攻撃者にアクセス情報を渡してしまっています。このような従業員が騙されたことに気づかない場合、そのネットワークアカウントやコンピュータは、外部の悪意あるハッカーにとってネットワーク内の足がかりになる可能性があります。

このようなハッカーは時間をかけて好きなように行動することができます。デバイスをボットネットに追加してDDoS攻撃に利用することもできます。暗号通貨を盗み出すことにも使うかもしれません。しかし最も一般的なのは、このデバイスを本拠地として企業ネットワークを探索することです。他のデバイスやアカウントに移動し、認証情報を取得してアクセス権限を増やし、貴重なデータを見つけて盗み出したり、身代金を要求したり、重要なシステムにアクセスして破壊工作を行うこともあります。

内部脅威への対策

ここまでは内部脅威の種類とその動機について考察してきました。では次に、内部脅威の数を減らし、残っているものを検知してブロックするために実施可能なあらゆる対策をみていきましょう。

従業員の不満を解消する

誰かの「不満を解消する」とは私のお気に入りの言葉の一つです。今回の対策といった意味合いでは、人事や経営のベストプラクティスを実行することで、それができるようになります。会社にとって脅威となりうる悪意のある内部関係者の数を減らすために、昇進・昇給の決定における透明性と公平性、明確で誠実な経営陣とのコミュニケーションなどは大きな役割を果たすことができます。

人事部とIT部の足並みを揃える

また、人事部とIT部が、悪意のある内部脅威の可能性について緊密に連絡を取り合い、定期的にミーティングを開いて情報交換を行うことも非常に有効です。最近懲戒処分を受けた従業員や昇給・昇進を見送られたと思っているような従業員のリストを人事部が準備することで、IT部がそうした従業員のオンラインでの行動をより注視し、彼らのデバイスやアカウントに特別なポリシーを適用する可能性を高めることができます。

同様に、IT部は、通常とは異なる時間にログインやバッジングを行ったり、自分の役割に関係のないデータにアクセスしたりする従業員や、その他の疑わしい行動を検知する方法を確立し、さらなる措置が必要とされる場合に備えてそのリストを人事部と共有する必要があります。

とにかく訓練あるのみ

セキュリティ意識向上トレーニングといえば、ひと昔前は年2回退屈なビデオを見て試験に合格するというプログラムでしたが、その時と比較すると Barracuda Security Awareness Trainingのようなものにかなり進化を遂げました。今はとても簡単な手法がとられています。フィッシング攻撃のシミュレーションを利用することで常に脆弱性を測定し、トレーニングを最も必要とする従業員を特定することや、その従業員向けの個別トレーニング教材とプログラムを提供することが可能となっています。

会社がゲーミフィケーションの手法を用いて、フィッシングの類似体験の特定と報告を最もちゃんとこなした人に賞を授与するといった機会を毎月もしくは四半期ごとに行うことで、ひねくれた態度の従業員でさえも積極的に参加しエンゲージメントを高めることができるでしょう。強力で効果的なトレーニングプランは、ずさんな、もしくは侵害された内部関係者の脅威を軽減する唯一にして最良の方法です。

信頼しつつ、きちんと確かめる

冷戦時代の核軍備管理取引と同様、「信頼しつつ、きちんと確かめる」は、「信じるな」のうわべの表現だと言えましょう。そしてアクセスコントロールに関して言えば、絶対に信頼すべきではありません。

シングルサインオン（SSO）、ロールベースの権限、多要素認証（MFA）は、効果的で安全なアクセス制御のための黄金ルールとして長い間利用されてきました。しかし結局のところ、こうした対策はあまりに信頼しすぎてしまうのが問題です。一旦正しい認証情報が提示されれば、すべてあなたの思う通りに操作できるようになり、あなたが本人であることにも、あなたがやりたいように行動することにも何の疑いももたなくなってしまうのです。

つまり、悪意のある内部関係者は自由に悪さをすることができますし、侵害された（もしくはログイン時に侵害されてしまった）内部関係者であれば、知らず知らずのうちに脅威アクターをネットワークに取り込んでいることになるのです。

現在、Barracuda CloudGen AccessなどのZTNA（Zero Trust Network Access）ソリューションは、そのような信頼の必要性を排除しています。ZTNAは、入口でIDを確認する用心棒の役割を果たすというよりも、専門の監視チームのような役割を担っています。ZTNAは各ユーザの行動を監視・分析することで、漏えいなどの有害事象につながる前に、異常な行動やリスクのある行動を特定するのに役立ちます。