インサイダーの脅威とは何でしょうか。 内部脅威とは、企業資産への正当なアクセス権を持つユーザーが、悪意があるかないかにかかわらず、そのアクセス権を利用して企業に損害を与えることです。
インサイダーの脅威は、データ漏洩の60%の主要な要因となっているため、企業は、外部の攻撃者から境界を守るのと同じくらいの厳格さで、日々ドアを通過する脅威を精査する必要があります。
Why Are Insider Threats So Dangerous?
2019年にSANSが発表した高度な脅威に関するレポートの中で、セキュリティ担当者は、通常のユーザー行動のベースラインに対する可視性の欠如や、フィッシングやクレデンシャル侵害のケースでより魅力的なターゲットとなる特権ユーザーアカウントの管理が原因で、インサイダー脅威の防御に大きなギャップがあることを指摘しています。
インサイダー脅威を検出することは、セキュリティチームにとって簡単な作業ではありません。 インサイダーは、すでに組織の情報や資産への正当なアクセス権を持っており、ユーザーの通常の活動と潜在的に悪意のある活動を区別することは困難です。 インサイダーは通常、組織内のどこに機密データが存在するかを知っており、高いレベルのアクセス権を持っていることが多いのです。
その結果、インサイダーによって引き起こされるデータ侵害は、外部からの攻撃者によって引き起こされるものよりも、組織にとってかなり大きなコストとなります。 Ponemon Instituteの2018年Cost of Insider Threats調査では、研究者は、内部脅威の平均的な年間コストが876万ドルであるのに対し、同時期のデータ侵害の平均的なコストは386万ドルであると観察しています。
Learn more about insider threat detection
4 Types of Insider Threats
インサイダー脅威という言葉は、厳密に悪意のある行動を表すために使われていますが、インサイダー脅威には定義されたスペクトルがあります。
インサイダー脅威の種類によって、組織が検知と防止を強化するために採用できる技術的および非技術的なコントロールが異なります。
ポーン コラボレーション ローン ウルフ という4つのカテゴリーに分類しています。
ポーン とは、スピア フィッシングやソーシャル エンジニアリングによって、悪意のある活動を行うように操られる従業員のことです。 無意識のうちに従業員がワークステーションにマルウェアをダウンロードしたり、ユーザーがヘルプデスクの従業員のふりをして第三者に認証情報を開示したりするなど、このベクトルは、組織に損害を与えようとする攻撃者にとって、より広範なターゲットの 1 つです。
Goof
Goofsは悪意を持って行動するのではなく、意図的に、そして潜在的に有害な行動を取ります。 グーフとは、利便性や無能さのために、自分はセキュリティ ポリシーから免除されていると信じている、無知で傲慢なユーザーのことです。 組織の95%は、セキュリティ・コントロールを積極的に回避しようとする従業員を抱えており、インサイダー・インシデントのほぼ90%はグーフィーが原因です。
コラボレーター
コラボレーターとは、第三者 (多くの場合、競合他社や国家) と協力して、組織に意図的に損害を与える方法でアクセスを使用するユーザーのことです。
協力者の例としては、中国籍でボーイング社の元社員であるグレッグ・チャンが、スペースシャトル計画に関する文書をため込んで中国に送り返したことが挙げられます。 また、UberとWaymoのケースのように、協力者を使った企業スパイも多発しています。
一匹狼
一匹狼は完全に独立しており、外部からの影響や操作を受けずに悪意を持って行動します。 一匹狼は、システム管理者やDB管理者のように、高いレベルの特権を持っている場合に特に危険です。 一匹狼の典型的な例としては、エドワード・スノーデンが挙げられます。彼は、機密システムへのアクセス権を利用して、NSAのサイバースパイに関する情報をリークしました。
インサイダー脅威を効果的に検知するために、組織はまずセキュリティデータをSIEM(Security Information and Event Management)プラットフォームやスタンドアロンのUEBA(User and Entity Behavior Analytics)ソリューションなどの集中監視ソリューションに集約して、可視性のギャップを解消する必要があります。
情報が一元化されると、ユーザーの行動をモデル化し、ユーザーの地理的な変更やリムーバブルメディアへのダウンロードなど、特定のリスクのあるイベントに関連したリスクスコアを割り当てることができます。 十分な履歴データがあれば、個々のユーザーの正常な行動のベースラインを作成することができます。 このベースラインは、ユーザやマシンの正常な動作状態を示すもので、この活動の逸脱には異常としてフラグを立てることができます。
行動の異常は、セキュリティ チームが、ユーザーが悪意のあるインサイダーになった場合や、外部の攻撃者によって認証情報が侵害された場合を特定するのに役立ちます。 また、リスクスコアを割り当てることで、セキュリティオペレーションセンター(SOC)のチームは、監視リストを作成したり、組織内でリスクの高いユーザーをハイライトしたりして、企業全体のリスクを監視することができます。
改善策でループを閉じる
前述のように、特権アカウントはインサイダーにとって価値の高いターゲットです。 組織が特権アクセス管理 (PAM) ソリューションを採用し、そのソリューションから特権アカウントへのアクセスに関するデータを SIEM にフィードすることが重要です。
ユーザーの行動分析は、異常なログインの試みや複数のパスワードの失敗などを検出し、アナリストが検証するための適切なアラートを生成します。
検証された後、統合されたセキュリティオーケストレーション、オートメーション、およびレスポンス(SOAR)システムで内部脅威のインシデントを作成し、プレイブックで必要な修復を指定することができます。
組織が注意しなければならないインサイダー脅威にはいくつかの種類があり、それぞれセキュリティチームが診断すべき異なる症状を示します。
Learn more about protecting your organization with privileged access management (PAM)
このブログは、2020年7月に発生したTwitterへの「組織的ソーシャルエンジニアリング攻撃」を受けて更新されたもので、インサイダー脅威の後の予防と修復に関する情報が含まれています
。