インサイダーからの攻撃：過失と 故意と 復旧と

Protecting Data From Insider Threats

2021/09/20 SecurityBoulevard — 2021年9月は、National Insider Threat Awareness Month (NITAM) の３年目にあたる。NITAM の Webサイトによると、今月の目標は、承認されたアクセスを悪用して組織のリソースに害をおよぼす試みの防止とのことだ。先日に、National Counterintelligence and Security Center の acting director である Michael J. Orlandoは、データ保護意識を高めるために、この9月は、インサイダー脅威を検知／抑止／軽減することで、国家を守ることの重要性を強調すべきだという、書簡を発表した。

Orlando は、この1年半の傾向として、外部のサイバー犯罪者からではなく、被害を受けた組織の内部から、発生する脅威が急速に拡大しているという観点から、厳しい状況にあると指摘している。Orlando は、「米国では、国民の健康と安全、国家安全保障、経済的繁栄に悪影響をおよぼすインシデントが、信頼できるはずの内部の人間に引き起こされるケースが増加している」と説明している。

企業と国家に対するインサイダーの脅威

今月は国家の安全保障に焦点が当てられているが、この問題はもちろん、組織の安全保障とも密接に関連している。企業がランサムウェア攻撃について考えるとき、多くの場合、外部からの脅威に備えることに重点が置かれる。たしかに、外部からの脅威は数多く存在するが、組織内部からの脅威に対する防御も忘れずに、同様に準備していく必要がある。

ここ1年半の間に、インサイダーによる脅威が深刻化した大きな理由としては、COVID-19 パンデミックの影響により、大量の従業員が自宅で仕事をしていることが挙げられる。Ponemon Instituteが発表した 2020 Cost of Insider Threats というグローバル・レポートによると、実際のところ、インサイダー脅威は過去2年間で 50％ 近く上昇し、それが原因となるインシデントにかかるコストも、2018年の $8.76 million から2020年$11.45 millionに急上昇していることが判明した。

誤操作と悪意

これらの問題のすべてが、悪意のインサイダーによるものではなく、その多くは従業員や管理者のミスや誤算、そして設定ミスなどに起因している。たとえば、IT 部門で承認されたデバイスを、従業員が使用していないという単純な理由により、内部から問題が発生し、外部の脅威アクターにドアを開くこともある。

Ponemon Institute のレポートによると、インサイダー事件の大半 (62％) は、従業員の不注意や怠慢が原因となっている。このような意図しないミスは、平均で、１件あたり $300,000 という大きな被害をもたらす。その一方で、危害を加えようとするインサイダーの場合は、１件あたり$871,000以上という、さらに膨大な損害をもたらすと報告されている。

偶発的なものと意図的なもの、この２つのタイプのインサイダー脅威を回避するためには、外部の脅威から守るのと同様のアプローチを、IT 部門で採用する必要がある。企業は、ランサムウェアやマルウェアに対する防御と同様に、従業員の教育や、強固なセキュリティ・ポリシー確立などに取り組む必要がある。そのためには、３つの言葉である保護／検知／復旧がキーワードになる。

復旧戦略の優先順位

現在、数多くのインサイダー脅威が発生していることを考えると、復旧の部分が特に重要となってくる。組織においては、何らかの内部脅威の発生を想定する必要があるが、適切な復旧戦略があれば、これらの脅威を抑止できるだろう。この領域では、バックアップに関する、2つのベスト・プラクティスがある。

・Unbreakable Backup：復旧戦略の第一段階として、基本的に「壊れない」バックアップを用意する必要がある。理想的なソリューションでは、ファイルに対して、フィンガー・プリント／冗長性／シリアル化／安全なタイムスタンプ／自動修復などの機能が含まれることが必要であり、その一方では、コンプライアンス遵守のための機能も必要になる。その他にも、管理キーを別の場所に保管し、保護を強化する必要がある。壊れないバックアップは、ランサムウェアなどの外部からの脅威に対して理想的だが、社内からの脅威においても同様の価値がある。壊れないバックアップとは、その名の通り、データが「ロックダウン」されているため、バックアップ自体に破損／改竄が生じることはなく、潜在的なインサイダー脅威に対しても、データの損失やダウンタイムを心配する必要がなくなる。ただし、企業内の悪意の人物が、ランサムウェアのようにバックアップを標的にする可能性がある。そのため、壊れないバックアップの目的は、回復能力に関する懸念を払拭するソリューションの提供となるだろう。

・Immutable Backup：復旧戦略のパート２は、「不変の」バックアップを組み込むことである。壊れないバックアップと同様に、変化しないバックアップは、外部からの脅威に対して最適なソリューションであり、内部からの脅威に対しても有効だ。その目的は、あらかじめ決められた期間において、バックアップをロックすることである。言うなれば、「不変の保存期間」となる。このタイプのソリューションは、現在多くのクラウドで提供される WORM (Write Once Read Many) イミュータブル・ストレージとの統合が理想であり、指定された期間中のファイルの変更を防ぐことができる。その結果、たとえ内部の脅威アクターが root 認証情報を入手したとしても、誰も削除できない不変的なバックアップが得られる。

企業の重要なデータやリソースに対するインサイダーの脅威は、外部のサイバー犯罪者が成し得るものと同様に、大きな被害をもたらすものとなる。信頼されている従業員がミスを犯す場合も、悪意のインサイダーが意図的に損害を与える場合も、組織の存在自体が破壊されるのに、たいした時間も手間もかからない。

企業の防御力は、脅威のレベルに見合ったものになるべきだ。つまり、最悪の事態を想定し、最善のソリューションを導入することが、特に復旧の確保に関しては重要となる。内部の脅威だけでなく、外部の脅威にも対応できる、強固な復旧ソリューションを用意することで、企業は最も重要なデータ資産を保護し、ビジネスの永続性を確保することができる。

インサイダーからの脅威には、誤操作と悪意がありますが、対策としては「保護／検知／復旧」となりますよね。その中でも、この記事は復旧にフォーカスしています。壊れないバックアップと、不変のバックアップの違い、しっかりと反芻しながら頭に刻み込みたいと思います。この、「従業員教育から災害復旧まで：包括的なデータ保護でサイバー犯罪を無力化する」も、なかなか良い記事ですので、よろしければ ど〜ぞ。