好きな所から読む
内部脅威とは?
現役社員や退職した社員が企業の機密情報を不正に持ち出し、ダークウェブへの売却や競合他社への情報転売などの目的で不正に流出させる不正行為全般を指します。
社員が給料・待遇・人間関係の面で所属企業に対し不満を持っていた場合や同業他社に転職を決める場合に有利な条件を引き出そうとした場合に内部漏洩は誘発されます。
⇒内部脅威の存在を前提にしたゼロトラストに関するホワイトペーパーを今だけ無料でプレゼント中!
現在は新型コロナウイルス感染症への対策や多様な働き方へ対応するためにテレワークの導入が進み、自宅やサテライトオフィスなどで仕事をこなす方々が増えてきました。
オフィスへの出勤がデフォルトの状態では機能していた同僚・上司からの監視の目も無くなりつつあり、社員の行動を把握することが今まで以上に難しくなっています。
そのため、自由度の高い自宅やサテライトオフィスで所属企業へ不満を持っていた社員が不正行為を行ったとしても不思議ではありません。
さらに、サテライトオフィスを複数の企業で共同利用するコワーキングスペースを導入していた場合は、他社に情報の盗み見・盗聴をされるリスクも上がります。
セキュリティ対策が脆弱な場合は簡単に情報を盗取されるため、セキュリティツールの導入や社員への教育で情報資産を守る仕組みを強化しなくてはなりません。
内部漏洩が発生するとどうなるか?
内部漏洩が起きる理由と企業が受ける被害についてまとめました。
近年は情報漏洩の被害件数が増加傾向にあることもあり、多くの企業が情報漏洩に関して敏感になっています。
一度でも情報漏洩が起きると今後のビジネスが大変厳しくなるので、セキュリティ対策を常に強化しなくてはなりません。
また、サプライチェーン攻撃のように自社のセキュリティ対策が甘いと、顧客や取引先の情報資産が盗取されるリスクが高まります。
莫大な損害賠償を要求されるケースもありますので、取引先を守るためにも今後の対策が重要になります。
内部漏洩が起きる理由・情報漏洩の影響
| 内部漏洩が起きる理由 | 狙われる情報資産 | 情報漏洩が起きた場合に想定されるリスク | 情報漏洩が起きた場合の実被害 | |
| 内容 |
|
|
|
|
内部脅威を防ぐのが困難な3つの理由とは?
最も大きな理由は社員の行動を把握することが難しい点です。
基本的に社員を信用する前提で企業は動いており、悪意ある犯罪者が紛れているとは考えません。
社員の行動を把握するのが難しい
システム管理者は自らが担当する業務の遂行と外部からのサイバー攻撃の有無の確認・対策強化に追われるため、内部脅威・内部犯行にまでケアが回らないといった点が実情です。
また、オフィスへの勤務がデフォルトであれば上司や同僚からの監視の目やセキュリティ教育の実施で内部漏洩の抑止力を高めることができましたが、在宅勤務やテレワークの広がりでコミュニケーション機会が減少しているため難しくなっています。
場所を問わない働き方を選択する人は今後も増えていくと予想されるため、セキュリティツールの導入や罰則の強化などを実施していく必要があります。
退職した社員へのケアも求められる
実行者は転職先でのポジション確立や企業への個人的復讐などから内部漏洩の犯行に及びます。
企業にとっては現役社員よりも行動把握が難しく、過去にはエディオンやベネッセなどで内部漏洩事件が起きています。
退職後も社員のアカウント情報が一定期間有効に設定されており遠隔操作で情報を入手できたことや退職前に私用のPCに転送できた状況だったことが、機密情報が流出した原因です。
対策としては在職中からメンタルケアを行い、内部漏洩のリスクを下げることが最も身近に取り組める方法です。
その他にはアカウント情報の速やかな削除はもちろんのことアクセス管理を行い、特定の端末や場所からでしかアクセスできない状況を作り出し、不正アクセスのリスクを軽減することが重要です。
現役社員は痕跡を消せる
システム管理部門に所属していた場合やセキュリティ知識が豊富な人材の場合、内部不正の犯行を比較的簡単に消すことができます。
自社のセキュリティ対策における脆弱性の把握、AD(Active Directory)やIDaaS(Identity as a Service)のログ消去が容易に実行できるからです。
また、所属している企業が外部からの不正アクセスやサイバー攻撃の検知に重点を置く境界型セキュリティ(ペリメタモデル)を採用していた場合は、内部への警戒が手薄になるため内部脅威のリスクが増します。
対策としては、「全てのアクセスに危険が潜んでいる」との考え方をベースにしたゼロトラスト、ゼロトラストを基本に採り入れたZTNA(ゼロトラストネットワークアクセス)の構築や機密情報と認定した全ての情報の持ち出し・コピーを制限するDLP(Data Loss Prevention)の導入などが挙げられます。
テレワーク導入による内部脅威への3つのリスクとは?
オフィス外で仕事をすることが増加したことによってリスクが高まったサイバー攻撃を紹介します。
フィッシング詐欺
従来から指摘されていたパスワード管理の甘さを突かれてアカウント情報をハッキングされ、VPNを経由した社内ネットワークへの不正アクセスを許す形がテレワークの導入で一層増加しています。ZDNet Japanによると在宅勤務やサテライトオフィスが増加した2020年1-3月期は、フィッシング詐欺の被害が前年比600%に増加したと発表しています。
一見外部脅威に見えるフィッシング詐欺ですが、前述のように不正アクセスを許しているのは単一パスワード使い回しや規則性が読み取れる解読しやすいパスワードの設定など、十分なパスワード管理を実施できなかった点が原因です。
対策としては、文字数が長く記号や数字をバランス良く織り交ぜたパスワード設定を行うのが最も身近な対策方法として挙げられます。また、多要素認証ツールを導入してパスワードレスでの認証を進めるといった対策も1つの選択肢です。特に顔認証や指紋認証といった生体認証は偽造・コピーがしづらく紛失や盗難のリスクも無いため、精度の高い本人認証が可能です。
標的型攻撃
対面での商談やコミュニケーションが減ったことで、チャットツールやメールでのやりとりが増加しました。利用頻度の高さから警戒心が薄くなった心理的緩みを突き、ビジネスメール詐欺による標的型攻撃が増えています。手口としては取引先や経営層を装った形での情報盗取、業務での利用頻度が高いワードやエクセルなどの添付ファイルにマルウェアを仕込み情報盗取やシステムダウンを狙ったパターンなど、様々な手口で被害が起きています。
オフィスであればすぐに同僚や上司に確認ができる状況も在宅勤務やサテライトオフィスではスピード感に欠けるため、自分一人だけでは判断できない状況にあることも標的型攻撃の被害を拡大させている一つの原因と言えます。
標的型攻撃は外部からの攻撃ではあるものの、該当メールの添付ファイルやリンクをクリックしなければ被害を回避することが可能です。社員のセキュリティ意識や知識が浅かった場合は内部漏洩につながるため、内部脅威の一つとして認識されています。
ランサムウェア
ランサムウェアはユーザーが使用していたデータファイルの暗号化や使用していたシステムを操作不能な状態に追い込み、元の状態に戻す代わりに多額な身代金を要求するウイルスです。UTM(Unified Threat Management:統合脅威管理)や暗号技術を提供するソフォス社の調査によれば、身代金を払った企業は約1億5,000万円の被害に遭い、従わなかった企業もビジネス機会の損失や復旧までの時間的コストも含めて半分の7,600万円の被害に遭っています。
ランサムウェアは2017年に全世界150カ国以上で被害をもたらしたWannaCryが代表的な例として挙げられますが、今回再び被害が増加した理由は企業のクラウドサービス増加に伴い、ランサムウェアをサービスとして利用できるRaaS:(Ransomware-as-a-Service)が急速に普及しているからです。高度なスキルや知識を備えた犯罪者が作ったランサムウェアほどではないかもしれませんが、数千円~数万円で購入できるため専門的な知識を持っていない者でもランサムウェアを手に入れられる状況になっています。
つまり、企業に不満を持った社員がランサムウェアを使った内部不正を仕掛けてくる可能性も十分考えられる状況です。対策として挙げられるのは、まず確実にバックアップデータを取っておくことです。仮にランサムウェアの被害に遭ったとしても、被害を最小限に抑えられます。
そして、アクセス権を最小限に抑えることで、ランサムウェアを仕掛けた犯人がデータの書き換えや編集を行えないよう防御します。
内部脅威を軽減するためのセキュリティソリューションとは?
UEBA(User and Entity Behavior Analytic)とSWG(Secure Web Gateway)の特徴を紹介します。
SWGはCASB(Cloud Access Security Broker)と併用することで、さらに安全性が向上します。
UEBA
機械学習とAIを活用したUEBAは、ユーザーの不正行動とデータの不正流出を防ぐセキュリティソリューションです。
デバイス機器・ネットワーク機器・アプリのデータの自動収集や分析を行うSIEM(Security Information and Event Management)の近未来モデルとして注目されています。
UEBAはユーザーの通常行動をデータベース化し、通常とは違う不正行動を取った場合にすぐに検知することが可能です。
業務で使用するスマートフォンやノートPCなどのデバイス機器・アプリ・ネットワーク機器をユーザー行動と自動リンクさせるだけでなく、ネットワーク上におけるデータの集合体を分析し、内部漏洩を防ぎます。
SWG
SWGはプロキシを利用したネットワークソリューションです。
外部からの不正アクセスやマルウェア感染を防ぐ機能を多数機能しているのに加え、ゼロトラストセキュリティを採用したアクセスZTNAとの相性も良いのが特徴です。
SWGに期待されるのはシャドーITによる内部漏洩の防止です。
シャドーITはスマートフォンやクラウドサービスの利用など企業に許可を得ていない私物を業務に持ち込んだことがきっかけで、情報漏洩に発展することです。普段使い慣れているデバイス機器を持ち込むため利便性や生産性の向上が期待できる一方、セキュリティ対策が十分でないアプリへのデータ保存や外出先での使用でアカウント情報をハッキングされ、情報流出につながるリスクが高まります。
SWGを導入することで企業が許可していないアプリの使用を制限・禁止し、シャドーITを防止します。また、仮に悪意を持った社員が未知のマルウェアを活用したサイバー攻撃を仕掛けたとしても、サンドボックスを活用しネットワークから離れた場所で隔離・分析を行うことで、自社への被害を最小限に抑えます。
SWGの主な機能
| 機能内容 | 導入効果 | |
| Webフィルタリング |
|
|
| アプリケーション制御 |
|
|
| サンドボックス |
|
|
| アンチウイルス |
|
|
SWGは、クラウドサービスの利用状況可視化や機密情報と認定されたデータの持ち出しを防ぐ機能などを搭載したセキュリティソリューションCASBとの相性も良く、CASB市場で高いシェアを誇るNetskope社では2つを合体したサービスも生まれています。
CASBの主な機能
| 機能内容 | 導入効果 | |
| クラウドサービスの可視化 |
|
|
| 脅威防御 |
|
|
| アクセスコントロール |
|
|
| データ保護 |
|
|
