Top 5 Insider Threats to Look Out For in 2023
2023/03/17 SecurityAffairs — テクノロジーの進化に伴い、サイバー攻撃がさらに複雑化している。数多くの企業において、サイバー・セキュリティの取り組みが、外部からの攻撃だけに向けられているため、内部リスクに対する隙が多くなっている。また、従業員の過失や悪意により機密情報が失われる危険性を、認識できていない企業もある。インサイダー脅威は、サイバー・セキュリティにおいて最も軽視される側面の1つであることに間違いはない。インサイダー脅威の統計によると、これらの脅威は、従業員や業務委託先だけではなく、ネットワークに簡単にアクセスできる信頼できるパートナーから発生する可能性もある。そして、インサイダー脅威に関する報告や、最近の動向を分析すると、この種の攻撃の頻度が急激に高まっていることが分かる。したがって、サイバー・セキュリティの専門家たちは、インサイダー攻撃の有害な影響について、より注意を払うようになっている。
一般的に、セキュリティ専門家たちは、インサイダー脅威を特定し、適切に阻止する能力について、自信を持てるようになるべきだ。インサイダー攻撃に関する質問において、回答者の 74% が、自分の会社は中程度から非常に脆弱の間にあると回答している。
この Gurucul の調査項目は、2021年の 68% から 6% 増加しているが、この 74% の回答者は、インサイダーからの攻撃が定期的に発生するようになってきたと述べている。2022年には、回答者の 60% が、インサイダー攻撃を受けたと回答し、8% が 20件以上の攻撃を受けたと回答している。また、回答者の 48% は、内部からの攻撃は外部からの攻撃よりも特定と阻止が困難であると述べている。
インサイダー脅威は、正規のアカウント/パスワード/IT 技術を用いて行われるため、通常のユーザー・アクティビティを区別することが困難になりがちだ。全体として、インサイダー脅威は、より重大な脅威になり始めている。これらの調査結果が示唆するのは、2023年のセキュリティ・チームは、インサイダー脅威に備えるべきという警告であもある。
個人的な理由により、意図的に機密データを盗み出す悪意のインサイダーや、過失や単純なミスにより、誤って情報を公開してしまうユーザーからのリスクに、組織は対処する必要がある。
ここでは、2023年にセキュリティ・チームが注意すべき、脅威の Top-5 を紹介していく。
従業員の過失
従業員の不注意や無知が引き起こすものとしては、意図しないデータ漏洩/機密情報の不適切な取り扱い/セキュリティ・ポリシーや手順の不履行などが挙げられる。インサイダー・インシデントの3件に2件以上の割合で、過失が原因だとされている。従業員たちが、自分の会社にもたらす危険性を認識していないケースや、セキュリティ対策に優先順位をつけていないケースなどがある。
個人用/仕事用のアカウントのパスワードを繰り返して入力し、また、個人データの入ったフラッシュ・ドライブを喫茶店に置き忘れるなど、危害を加えるつもりが無くても、不用意な行動を引き起こしてしまう。また、自身が関与していることに気づかず、フィッシング詐欺のようなソーシャル・エンジニアリングの被害に遭う人もいる。さらには、利便性を優先するがために、セキュリティ対策を回避するなど、過失のある行動をとる場合もある。
悪意のある内部関係者
内部関係者でありながら、データの摂取/ビジネスプロセスの妨害/機密情報の販売などにより、会社に損害を与えることを意図すれば、悪意のインサイダーとみなされる。それらの人々は、貪欲/報復/転覆といった欲求に駆られているかもしれない。そして、いまでも、それらの人々は雇用されている。彼らは、あなたのビジネスの熱烈な支持者ではないかもしれない。そして、重要なデータセットの消去/変更や、機密情報を漏えいなどの破壊的な手段をとることで、憤慨の意思を示すことになる。
最も悪質なのは、組織に対して意識的に酷いことをする、悪意の内部関係者である。その可能性があるのは、信頼できるビジネスパートナーや、請負業者、従業員などである。彼らは、思想/復讐/金銭の面で動機を持っている場合がある。秘密裏に活動し、個人情報や機密文書を盗む者もいる。
インサイダーの共謀
2人以上の従業員が協力して、情報窃取や詐欺行為などにいたる状況を、インサイダー共謀と呼ぶ。従業員同士が協力し合い、その活動を隠す可能性があるため、この種の危険は特定が困難になりがちだ。意図的であろうとなかろうと、このような脅威は外国勢力に関連すると捉えるべきだ。それらの従業員は、ソーシャル・エンジニアリングによりログイン情報を騙し取られた後に、脅迫や贈収賄により外部の人間から情報を要求されている可能性がある。
インサイダー・リスクを特定するのが、最も難しいのは潜入スパイであり、最も大きな損害を与える可能性がある。彼らは、組織に危害を加えることを意図して企業に参加する点を除けば、悪意のインサイダーと同様の機能を果たす。国家を支持するのか、別の何かを支持するかは分からないが、強烈な政治的動機に突き動かされていることが多い。
サードパーティーベンダーとコントラクター
機密データやシステムにアクセスする企業は、サードパーティであるベンダーやコントラクターからの、インサイダー脅威のリスクにさらされる可能性がある。これらの人々は、正社員とは異なるセキュリティ手順を遵守し、ビジネスの成功における利害関係も異なるかもしれない。つまり、すべてのインサイダーが、企業のために働いているわけではないことになる。サプライヤー/ベンダー/コントラクターなどの、内部へのアクセスが制限されている外部の関係者であっても、内部スタッフと同等の脅威をもたらす可能性がある。
ほとんどの企業は、業務の一部を専門性の高い外部の組織などに委託している。それらのサードパーティは、高度なセキュリティ・プロトコルを持たないため、サイバー攻撃者の格好の標的となりやすい。このような企業が、あなたの会社のネットワークの一部において、特権的なアクセスを提供されたとする。その場合、対象となるパートナーのセキュリティ・ネットワークが侵害された後に、あなたのシステムに脅威アクターが侵入し、サードパーティによるデータ漏洩を引き起こすことは間違いないだろう。
セキュリティ・ポリシー回避者
最後になるが、セキュリティのポリシーやプロトコルの無視を好む従業員のグループは、決して少なくはない。ビジネスにおいては、人員やデータを保護するための、セキュリティ・ポリシーが作成されることが頻繁にある。その際の規制によっては、負担が大きく不便なこともあり、単純なルートを選択する従業員が出るかもしれない。
現代の企業においては、重要なデータを保護するためのセキュリティ手順が設けられている。それらの安全対策に悩まされる一部の従業員が、回避策を考えることで、データ漏えいのリスクが高まる可能性もある。このような回避策により、組織のセキュリティとデータ保護が危うくなる可能性が生じる。ポリシー回避者は、セキュリティ・ポリシー/プロシージャ/ベスト・プラクティスを意図的に破るため、インサイダー脅威とみなされる可能性がある。
結論
組織がインサイダー脅威を防ぐには、アクセス制限/監視/データ損失防止技術/内部脅威ソリューションなどの技術的ソリューションを採用することで、内部リスクを抑制する必要がある。徹底したセキュリティ計画を策定し、定期的に見直し、新たなリスクが発生した際には更新する必要がある。どのようにして、インサイダー脅威が現れるのかを知ることで、企業の評判/将来の成長/顧客/従業員のすべてが守られる。
著者について:Mosopefoluwa Amao は、認定サイバー・セキュリティ・アナリストでありテクニカル・ライターでもある。SOC アナリストとして勤務した経験を持ち、組織向けのサイバー・セキュリティ関連コンテンツを作成し、セキュリティ意識を広めてきた。ナイジェリアを拠点とする NGO で、リソースライターとしてボランティア活動を行い、女性向けの機会を作り出している。また、Bora の常連ライターでもある。その他には、法律/ボランティア/女性の権利に興味がある。自由時間には、ビーチで過ごしたり、映画を見たり、本に埋もれたりするのが好きだという。
2022/07/28 の Gurucul 2022 調査をベースにした、「セキュリティ意識調査:予算の大部分が無駄になっていると 70% 以上の企業が回答」という記事には、「これまでの2年間でインサイダー脅威が 47% も増加しているが、最大の脅威は企業の内部からのものだと捉える企業は僅か 25% に過ぎない」と記されています。この領域は、2023年の焦点の1つになりそうな気がします。よろしければ、以下の記事も、ご参照ください。
2023/02/02 :サイバー・セキュリティ調査:インサイダーは?
2023/01/30:インサイダー脅威に関する調査:多発する攻撃
2023/01/24:ダークウェブの監視が重要:インサイダー・リスク
IoT OT Security News 
You must be logged in to post a comment.