サイバーセキュリティにおけるインサイダー攻撃とインサイダーの脅威を解説

組織は通常、外部から発生するサイバー脅威に注目します。 例えば、マルウェア対策、外部ファイアウォール、DDoS攻撃の緩和、外部からのデータ損失防止など、数え上げればきりがありません。 外部からのサイバー攻撃はよくあることなので、不正アクセスや悪意のある侵入からネットワークを守ることは非常に重要です。 インターネットや施設への不正な物理的アクセスは常にリスクであり、それらを監視・管理する必要があります。 しかし、見落とされがちなサイバー攻撃の表面、それは内部にあるものです。 内部からのサイバー攻撃は、多くの人が想定している以上に一般的なものであり、この現実を無視することは危険を伴います。

インサイダー攻撃の影響と重要性

ネットワークに対するインサイダーの脅威は、一般的に企業の従業員や契約社員として働く人々が関係しています。 彼らは、あなたの施設に所属し、あなたのネットワークのユーザーアカウントを持っていることがよくあります。 彼らは、ネットワーク管理者の名前、使用している特定のアプリケーション、どのようなネットワーク構成になっているか、どのベンダーと取引しているかなど、外部の人間にはわからない組織の情報を知っています。 外部のサイバー攻撃者は通常、ネットワークのフィンガープリントを取り、組織に関する情報を調査し、従業員からセンシティブなデータをソーシャルエンジニアリングで取得し、最小限の権限しか持たないユーザーアカウントであっても悪意のあるアクセスを獲得する必要があります。

また、インサイダーの脅威の中には、悪意のあるアクターによるものではないものもあります。 インサイダーの脅威の中には、純粋に偶発的なものもあります。 例えば、従業員が機密文書の詰まったUSBメモリをレストランの洗面所に誤って置いてしまったり、悪意のあるハイパーリンクをクリックしてWebマルウェアをネットワークに侵入させてしまったりすることです。 Ponemon Instituteの2018年4月の調査「Cost of Insider Threats」によると、インサイダー脅威のインシデントは、調査対象となった159の組織に1年間で平均876万ドルの損害を与えました。 悪意のあるインサイダー脅威は、偶発的なインサイダー脅威よりもコストが高くなります。 過失のある従業員や契約者によるインシデントのコストは1件あたり平均28万3,281ドルであるのに対し、悪意のあるインサイダーによるクレデンシャル窃盗のコストは1件あたり平均64万8,845ドルとなっています。

Comparing insider vs. outsider cybersecurity threats and attacks

つまり、インサイダーの脅威は、アウトサイダーの脅威よりもはるかに危険な可能性があるということです。 悪意のある攻撃者に関する限り、インサイダーはすでに建物やユーザーアカウントへの許可されたアクセス権を持っています。 外部の攻撃者は、ネットワークや物理的な設備への外部からの攻撃ベクトルを見つけるために努力する必要があります。 内部の攻撃者は、このような手順を通常は省略できます。 そもそもユーザーアカウントに侵入するよりも、すでに持っているユーザーアカウントから特権を昇格させる方がはるかに簡単です。 警備員は、見知らぬ個人を精査するのに対し、知っている従業員には手を振って挨拶します。 私は働いたことのない会社の機密情報など知りません。

インサイダーはすでに特権的なアクセス権を持っているため、アウトサイダーの脅威に比べて検出や阻止がはるかに困難です。 従業員が機密データを扱っているとき、その従業員が何か悪意のあることをしているかどうかを知るのは非常に困難です。 内部の人間がネットワーク内で悪意のある行動を取った場合、彼らはそれを単なるミスだと主張することができるため、罪を証明することは困難です。 インサイダーの脅威は、アウトサイダーの脅威よりもはるかに封じ込めるのが難しい場合があります。 Ponemon Instituteの「2018 Cost of Insider Threats」調査によると、インサイダーインシデントを封じ込めるのに平均73日かかっています。 30日以内に封じ込められたインサイダーインシデントは、わずか16％でした。 ネットワークへの脅威が20日間続いたとしても、その間にどれだけの被害が出るか想像してみてください。

ロッキード・マーティン社は、サイバー侵入を特定して防止するためのモデルとして、Cyber Kill Chainフレームワークを開発しました。 これは優れたシステムですが、外部からの脅威を判断するのに最も適しています。 ありがたいことに、私たちは内部の脅威の観点からCyber Kill Chainを実装する方法を採用しました。

注意すべきインサイダー脅威の指標

インサイダーの脅威は、検出して抑制することが非常に難しいため、どのような指標に注意すべきかを知ることが重要です。

不満を持った従業員が悪意のあるインサイダーになることがあります。

最も危険なのは、解雇通告を受けた社員です。彼らは、解雇される心配がなくなったため、失うものは何もないと判断するかもしれません。 組織の性質や仕事の内容によっては、解雇されたことを知った瞬間に、あなたの会社で働くのをやめるのがよいかもしれません。 彼らが持っている物理的な鍵を渡してもらい、すぐにユーザーアカウントを無効にしてください。 解雇された従業員に退職金を支払った方が、数週間の延長勤務をさせるよりも、結果的に組織のコストを抑えることができるかもしれません。

解雇される予定のない不満を持った従業員も脅威となる可能性があります。 上司や同僚と頻繁に衝突する人や、パフォーマンスの低下や遅刻が多い人などは、悪意のあるインサイダーになり得る不満を持った従業員の兆候です。

興味深いことに、悪意のあるインサイダーになりうる従業員や請負業者を示すもうひとつのタイプは、仕事に異常なほど熱心に取り組んでいるように見える場合です。 彼らは、昇給のためではなく、機密データへのアクセスを拡大するために、より多くの仕事や追加のタスクを志願するかもしれません。 私はヘルプデスクの仕事をしていますが、ネットワーク管理の経験はたくさんあります。

他の都市や国への頻繁な出張は、産業スパイの兆候である可能性があります。

インサイダー脅威の行為者のもう一つの大きな指標は、従業員やスタッフの経済状況に説明のつかない大きな変化があったことです。 年収4万ドルの社員が、なぜ突然ベントレーに乗っているのか。 あるいは、もっと微妙な指標があるかもしれません。

クラウドにおけるインサイダー攻撃

ますます多くの組織がクラウド ネットワークを導入しています。 クラウドネットワークは、オンプレミス型のネットワークに比べて、運用コストが低く、広い敷地を確保することなくネットワークを拡張することができますし、拡張性にも優れています。

春に発表された「Threatbusters」によると、クラウド・ネットワークはインサイダー脅威に対して独自の課題を提起しています。 Bitglass’ 2019 Insider Threat Report」によると、回答者の41％が、クラウドに移行した資産は異常な活動を監視されていないと答えています。 これにより、クラウドでのインサイダー攻撃は検知しにくくなっています。 お客様の組織は通常、クラウド・ネットワークへの物理的なアクセスができず、クラウド・プロバイダーのセキュリティ管理の導入に慣れるまでには時間がかかるかもしれません。

クラウド環境は、すべてのインフラストラクチャ スタックやアプリケーションと連携しているため、そこに存在する可能性のあるインサイダーの脅威を監視することは非常に重要です。

クラウドに対するインサイダーの脅威を防ぐためには、最適なセキュリティのために適切に構成されていることを確認する必要があります。 セキュアバイデフォルトのランディングゾーンは、開発環境、ステージング環境、本番環境に新たな攻撃対象が広がるのを防ぐことができます。 また、クラウドに適したアイデンティティ・アクセス・マネジメントを導入する必要があります。 最小特権の原則は、オンプレミスのネットワークと同様に、クラウドネットワークの保護にも有効です。 どのユーザーも、自分の仕事をするために絶対に必要な以上の特権を持つべきではありません。

結論。 インサイダー脅威の重要性を過小評価しないでください

業界やネットワーク構成に関わらず、インサイダー脅威や攻撃が組織のネットワークにとって重大な問題であることは明らかです。 インサイダー脅威を軽減するには、適切かつ頻繁なトレーニングが重要です。 社内の人間は、インサイダー脅威の兆候を知り、それに気をつけなければなりません。 偶発的な脅威を防ぐために、ユーザはソーシャル・エンジニアリングに強くなり、センシティブなデータの取り扱いには特に注意するようにトレーニングする必要があります。 人が最もよく学ぶのは、頻繁で一貫性のあるトレーニングです。

意識と警戒心が最も重要です。 組織はしばしばインサイダーの脅威のリスクを過小評価します。 知識は力です！