インサイダー脅威に関する調査：多発する攻撃と困難な発見への懸念

Insider attacks becoming more frequent, more difficult to detect

2023/01/30 HelpNetSecurity — Gurucul の調査によると、あらゆる種類の組織において、インサイダー脅威は最大の関心事となる。調査対象者のうち、インサイダー脅威のリスクについて、懸念しないという回答者はわずか３％だという。325名以上のサイバー・セキュリティの専門家たちからの回答をもとに、変化する内部脅威への対応に取り組む組織が、直面している最新のトレンドと課題、そして機密データと IT インフラの確実な保護のために、組織が取り組んでいる体制作りなどを、同社は調査している。

Gurucul のレポートによると、回答者の４人に３人が、インサイダー脅威に対して中程度から高程度の脆弱性を感じていると答えており、前年比で ８％ 増となっている。つまり、それぞれの組織は、かつてないほど脆弱であると感じていることが判明した。

このような危殆化を認知する傾向は、内部攻撃の大幅な増加と一致している。74% の組織が、攻撃が頻繁に起こるようになったと報告しており (昨年比6%増) 、60% が少なくとも１回の攻撃を経験し、25% が６回以上の攻撃を経験したと回答している。

また、クラウドにおけるインサイダー脅威に悩まされている組織が、それを検知／防止するために必要な、技術的な能力を備えていないことも多いようだ。

87% の組織が、全てのアプリ／デバイス／Web デスティネーション／オンプレミスのリソース／インフラなどにわたる、統合された可視性／制御の重要性について、高い関心を示している。

その一方で 48% の組織は、クラウドのフットプリントと Web 全体における、異常な動作を監視している。さらに、回答者の半数以上が、クラウドではインサイダー脅威の検知が難しく、SASE／CASBなどのツールのアップタイムとパフォーマンスが、セキュリティのために不可欠であると回答している。

Gurucul の CEO である Saryu Nayyar は、「このレポートは、現在において組織が直面している、最も興味深いインサイダー脅威の課題に焦点を当てている。86% の組織が何らかの方法で、ユーザーの行動を監視するソリューションを使用していることが示されている。しかし、主な方法はアクセス・ロギングであり、ユーザーの行動を 24時間 365日体制で監視する、自動化ツールを使用しているのが 、25% に過ぎないというのは予想外だった」と語っている。

彼は、「インサイダー脅威を検知するために使用される監視／分析の種類は、それぞれの組織ごとに大きく異なる。その一方で、内部からの攻撃を検知／防止するために、データの挙動／ユーザーの行動／アクセス／ネットワーク上の移動などを社内外で分析する、優れたツールやプロセスの必要性が強調されている」と付け加えている。

本レポートでは、以下のような統計値も提供されている。

• 内部攻撃のタイムリーな検知と防止を困難にする要因としては、アプリ／ネットワーク／サービスへのアクセス権を既に持っている信頼できるインサイダー (54%) ／データ漏洩の可能性がある SaaS アプリの使用の増加 (44%) ／企業リソースにアクセスできる個人デバイス使用の増加 (42%) などが上位に挙げられている。
• サイバー・セキュリティの専門家は、広範囲なアクセス権限を持つ IT ユーザーと管理者について、最も懸念している (60%) 。次いで、サードパーティの請負業者やサービスプロバイダ (57%) ／一般従業員 (55%) ／特権を持つビジネスユーザー (53%) となっている。
• インサイダー脅威の高まるにより、正式なインサイダー・リスク・プログラムを、組織が導入する推進力が強化されている。39% の組織が、すでにインサイダー脅威プログラムを導入している。また、46% が、将来的にインサイダー脅威プログラムを追加する予定であり、これは前年比 5% 増となる。
• ハイブリッド・ワーク／リモート・ワークへの移行が、インサイダー脅威のリスクを深刻化させている。セキュリティ担当者の 68%は、COVID‑19 のパンデミック後のオフィス復帰や、ハイブリッド型ワークモデルの浸透を考慮して、インサイダー脅威のリスクを懸念している。
• 最も懸念される攻撃タイプは、侵害されたアカウント／マシン (77%) だが、悪意の侵害よりも、不注意／過失によるデータ侵害の方が懸念されている。ユーザーのミスや偶発的なポリシー違反は、悪意のものと同様に有害であることを再認識させられる。

あまり考えたくはありませんが、考えなければならないことの１つに、インサイダーによる脅威があります。まずは、統計データを眺めてみるのが良いかもしれません。この Gurucul の 2023 Insider Threat Report は、20ページほどの簡潔な構成で、それぞれのデータをインフォグラグで示してくれるので、とても分かりやすいです。なお、2023/01/24 の「ダークウェブの監視が重要：Verizon DBI が示すインサイダー・リスク軽減のヒントとは？」は、表題の通りダークウェブにフォーカスした記事ですが、データの参照先である Verizon Data Breach Investigations Report は、データ侵害全体をカバーするものとなっています。こちらも、おすすめです。