インサイダーの脅威: 意味、防止、プログラム、および重要性

今日の現代企業の円滑な運営は、多数の従業員に依存しています。 しかし、これは、組織の機密情報が、現在または以前の何百または何千もの従業員、ベンダー、パートナー、または請負業者に常にアクセス可能であることを意味します。 「内部者の脅威」は、サイバー セキュリティの専門家がこれを呼んでいるものです。 これらの人々は、組織に危害を加えるために共有または利用される可能性のある情報、データ、またはリソースへのアクセスが許可されているため、インサイダーです。 このエッセイでは、サイバー セキュリティにおけるインサイダーの脅威のトピック全体について説明します。脅威とは何か、それらを特定する方法、危険なプログラムである理由、およびそれらを防止する方法などです。

サイバーセキュリティにおけるインサイダー脅威とは?

重要な情報の可用性、機密性、または完全性を危険にさらす会社で働く人物は、内部関係者の脅威と見なされます。 彼らは、意図せずに個人情報を開示したり、デマに騙されたり、財産を壊したり、会社の設備を失ったり、意図的にシステムを混乱させたりして、これを達成する可能性があります。

内部関係者の脅威として考えられるのは、機密データやリソースにアクセスできる人物です。 これには、人員、下請業者、およびパートナーが含まれます。 元従業員が退職後も引き続き機密情報にアクセスできる場合、内部関係者の脅威になる可能性があります。

内部脅威の種類

サイバー セキュリティに対する内部関係者の脅威は、悪意のある人物または過失のある人物に分類できます。 このパートでは、それらが互いにどのように異なり、なぜそれらが脅威をもたらすのかについて説明します.

＃1。 悪意のある内部関係者

悪意のあるインサイダーとは、意図的に機密情報を取得したり、会社を弱体化させたりする人物です。 彼らは多くの場合、盗んだデータを利用して詐欺を実行したり、ライバル企業やハッカー ギャングなどの第三者にデータを販売したりして、金銭的利益のためにこれを行います。

報復は、悪意のあるインサイダーの背後にあるもう XNUMX つの原動力です。 これは、以前の会社に対する恨みを抱いている最近解雇された個人に最も頻繁に発生します。 重要なシステムにアクセスできる個人は、建物の鍵をまだ所有している、職場のログイン資格情報がまだ有効であるなどの理由で、問題を引き起こす可能性があります。

復讐はまた、現在の労働者を鼓舞するかもしれません。 これは、彼らが過小評価されていると感じたり、昇進のために見過ごされたりしたときによく発生します。 彼らは、会社のシステムへのアクセスを利用して、業務を妨害したり、機密データを盗んだりする可能性があります。

＃2。 怠慢なインサイダー

仕事用デバイスを紛失したり、フィッシング詐欺に引っかかったりするなどの従業員の過失は、不注意なインサイダー リスクにつながる可能性があります。 これらのエピソードは、XNUMX つのサブカテゴリに分けることができます。 第 XNUMX に、一部の労働者は、酌量すべき事情のために、健全な判断を下しながらもデータ セキュリティ法に違反しています。 たとえば、過労や注意散漫の結果として過ちを犯した可能性があります。

反対に、怠慢な内部関係者の中には、一貫して法律を破り、スタッフの意識向上プログラムにほとんど関心を示さない人もいます。 彼らは、組織のポリシーとプロセスが過度に官僚的である、または自分たちの行動を弁護するにはあまりにも不便であるという議論を頻繁に使用します。

彼らは、データ侵害がなかったことを主張の裏付けとして挙げることさえあります。 もしそうなら、データ侵害はほぼ確実にある時点で発生し、判断よりも運による可能性が高くなります.

インサイダー脅威はどのくらい一般的ですか?

内部関係者の脅威は、サイバー セキュリティにとって常に懸念事項です。 サイバーセキュリティ インサイダーによる 2021 年のインサイダー脅威レポートでは、ほぼすべての企業 (98%) が、インサイダー攻撃にさらされていると感じていると述べています。

これらは頻繁に発生しますが、解釈するのは困難です。 多くの場合、データ侵害の正確な原因は不明であり、損害を推定することは困難です。 Cyber​​security Insiders の調査によると、インサイダーの脅威を特定できた企業はわずか 51% でした。

一方、回答者の 89% は、内部関係者の脅威を監視、検出、および対応する能力が効果的だとは思わないと述べ、82% は、攻撃の真のコストを評価するのは難しいと述べました。

内部脅威を検出する方法

悪意のある行為か怠慢な行為かを問わず、内部関係者のリスクを特定する最善の方法は、従業員の異常な行動に注意することです。
たとえば、従業員が職場で不満を抱いているように見える場合、従業員は直接会ったり書いたりする際にプロらしく振る舞わない可能性があります。 彼らはまた、恒星に満たない仕事をしたり、仕事のために遅刻したり早退したりするなど、他の不従順な行為を示す可能性があります。

奇妙な時間に働くことは、疑いの兆候である場合があります。 従業員が深夜にシステムにログインした場合、会社に知られたくないことをしている可能性があります。
最後の例と同様に、大量のトラフィックがある場合は、従業員が個人データを個人のハード ドライブにコピーして、不正に利用できるようにしている可能性があります。

ただし、従業員が通常は自分の仕事に必要としないリソースを使用することは、最も示唆に富むことです。 これは、詐欺などの不適切な目的で情報を使用しているか、第三者と共有していることを意味します。

インサイダーの脅威を防ぐ方法

会社のデジタル資産を内部の危険から守ることができます。 どうやって？ 読む。

＃1。 大切な資産を守る

会社にとって最も重要な論理資産と物理資産を決定します。 これらは、ネットワーク、システム、個人情報 (クライアント データ、従業員情報、回路図、複雑なビジネス プランなど)、物理的資産、および人員で構成されます。 各資産の保護の現状を判断し、重要性の順に資産を評価し、各主要資産を理解します。 当然のことながら、最高レベルの内部脅威保護は、優先度が最も高い資産に提供する必要があります。

＃2。 通常のユーザーとデバイスのアクティビティの平均を確立します。

内部脅威追跡ソフトウェアには、さまざまな形式があります。 これらのシステムは、最初にアクセス、認証、アカウントの変更、エンドポイント、および仮想プライベート ネットワーク (VPN) レコードからデータを収集して、ユーザー アクティビティ情報を一元化することによって機能します。 この情報を利用して、ポータブル メディアへの個人情報のダウンロードやユーザーの異常なログイン場所など、特定のイベントに関連するユーザーの行動をモデル化し、その行動にリスク スコアを与えます。

＃3。 意識の向上

高度な脅威に関する 2019 年の SANS 調査の回答者の XNUMX 分の XNUMX 以上が、インサイダーによる悪用を把握していないことを認めています。 ユーザーの行動を継続的に追跡するツールを展開するだけでなく、さまざまなソースからのアクティビティ データをコンパイルして関連付けることが重要です。 たとえば、悪意のあるインサイダーを誘惑し、彼らの行動を監視し、彼らの動機を推測するためのトラップを設定するサイバー詐欺ツールを採用することができます。 現在または将来の攻撃を認識または防止するために、このデータはその後、他のビジネス セキュリティ ソリューションに提供されます。

＃4。 ポリシーを適用する

組織のセキュリティ ポリシーを定義し、文書化し、共有する必要があります。 また、施行のための適切なフレームワークを作成し、不確実性を防ぎます。 従業員、請負業者、ベンダー、またはパートナーは、会社のセキュリティ ポリシーに適した行為について不確かであってはなりません。 彼らは、許可されていない人々と特権情報を共有することを控える義務があることを認識する必要があります。

＃5。 文化の変化を促す

インサイダーのリスクを特定することは非常に重要ですが、ユーザーが不適切な行為をするのを思いとどまらせることは賢明であり、費用もかかりません。 この点での目標は、セキュリティ意識とデジタル トランスフォーメーションへの文化的シフトを促進することです。 適切な価値観を植え付けると、不注意を防ぎ、有害な行動の原因に対処するのに役立ちます。 従業員の満足度を継続的に測定して改善し、不満の早期警告信号を検出する必要があります。 従業員やその他の利害関係者は、セキュリティに関する問題を知らせるセキュリティ トレーニングや意識向上プログラムに頻繁に参加する必要があります。

内部脅威プログラム

内部者による脅威の早期警告兆候を特定し、内部者による脅威を防止し、その影響を最小限に抑えるための実証済みの方法は、効果的で一貫した内部者による脅威プログラムを開発することです。 米国国立標準技術研究所 (NIST) の Special Publication 800-53 によると、インサイダー脅威プログラムは、「機密情報の不正な開示を検出および防止するために組織化された、集中管理下にある機能の調整されたグループ」です。 多くの場合、これは「内部脅威管理プログラム」または「フレームワーク」と呼ばれます。

インサイダー脅威プログラムは、多くの場合、内部リスクを特定し、それらに対処し、その影響を軽減し、組織内のインサイダー脅威に対する認識を高めるための手順で構成されています。 しかし、まず、インサイダー脅威プログラムの構成要素と、それを実施するためのベスト プラクティスを詳しく調べる前に、そのようなプログラムに時間とお金を投資する価値がある理由を見てみましょう。

効率的な内部者脅威プログラムを作成する手順

インサイダー脅威プログラムを最大限に活用するために、この 10 ステップのチェックリストを作成しました。 インサイダーの脅威からビジネスを保護するために実行できる 10 の方法を次に示します。

＃1。 インサイダー リスクに対抗するためのプログラムを作成する準備をします。

内部脅威プログラムをうまく構築するには準備が必要です。これにより、多くの時間を節約し、長期的に作業を進めることができます。 このステップでは、現在のサイバーセキュリティ対策、コンプライアンス基準、利害関係者についてできるだけ多くのデータを収集し、プログラムが提供する結果を決定します。

＃2。 リスク分析を行います。

インサイダー脅威プログラムの基礎は、どの資産を機密と見なすかを定義することです。 クライアントや従業員の情報、技術的な企業秘密、知的財産、プロトタイプなどのこれらの資産は、有形にも無形にもなり得ます。 このような資産とそれらに対する潜在的な危険性を見つける最善の方法は、外部または内部の脅威リスク評価を実施することです。

＃3。 プログラムの開発に必要な資金を決定します。

インサイダー脅威プログラムを成功させるには、時間と労力がかかります。 開始する前に、この種のプログラムの実装にはサイバーセキュリティ部門以上のものが必要であることを認識することが重要です。

＃4。 上層部の支持を得る。

この段階では、前のステップで取得したデータを使用して、プログラムを実行するための主要な利害関係者のサポートを得ることができます。 CEO、CFO、CISO、および CHRO は、多くの場合、重要な利害関係者のリストに含まれています。

＃5。 内部関係者の脅威に対応するためのチームを編成する

検出から修復まで、脅威管理のすべてのフェーズを担当するワーカーのチームは、「内部脅威対応チーム」として知られています。 一般に信じられていることとは反対に、このチームは IT プロフェッショナルだけで構成されるべきではありません。

＃6。 内部関係者の脅威を検出する最善の方法を決定します。

インサイダーの脅威に対する防御の最も重要な側面は、迅速なアクションを可能にし、修理コストを削減するため、早期に特定することです。 そのため、PCI DSS、HIPAA、および NIST 800-171 準拠のソフトウェアには、脅威検出コンポーネントが頻繁に含まれています。

＃7。 インシデント対応計画を作成します。

対応チームは、認識されている危険に迅速に対応するために、典型的なインサイダー攻撃のシナリオを実践する必要があります。 内部脅威への対応戦略の最も重要な側面は、それが実用的で実行しやすいことです。

#8。 インシデントの調査と修復を計画します。

サイバーセキュリティの問題と、内部関係者のリスクを軽減するための潜在的な是正措置を調査するためのプロセスを計画します。

#9。 スタッフにお知らせください。

トレーニング コースのトピックは、特定の企業が採用しているセキュリティの脅威、リソース、および方法によって異なります。 内部脅威認識トレーニングの成功の評価は、最後のステップです。 これを行うには、従業員のインタビューを行ったり、テストを作成したり、インサイダー攻撃をシミュレートして、スタッフ メンバーがどのように反応するかを観察したりします。

#10。 プログラムを定期的に見直してください。

インサイダー脅威プログラムの作成は継続的なプロセスです。 プログラムが効果を発揮するためには、インサイダーの脅威が変化し、より巧妙で危険なものになる必要があります。

内部からの脅威が危険な理由

高度な脅威に関する SANS のレポートによると、内部者の脅威に対する防御に大きなギャップが発見されました。 これらのギャップは、通常のユーザーの行動に関するベースライン データの欠如と、ブルート フォース攻撃やフィッシングなどのソーシャル エンジニアリング攻撃の主な標的となる特権ユーザー アカウントのアクセス制御管理が不十分であることが原因です。
優秀なセキュリティ チームでも、内部関係者の脅威を特定するのは依然として困難です。 定義上、インサイダーは会社の資産と情報に合法的にアクセスできます。 正当な活動と有害な行為の違いを見分けるのは困難です。

インサイダーは機密データがどこに保管されているかを頻繁に知っており、正当なアクセス要求があり、問題を悪化させる可能性があるため、役割ベースのアクセス管理は不十分な制御です。

したがって、内部関係者によるデータ侵害は、外部の攻撃者によるデータ侵害よりもはるかに高くつきます。 研究者は、Ponemon Institute の 166 年データ侵害のコスト レポートで、悪意のある攻撃または犯罪者による攻撃のレコードあたりの平均コストが 132 ドルであることを発見しました。

インサイダー脅威プログラムの作成が賢明な投資である理由は、データ侵害の約 60 分の XNUMX (Verizon) と XNUMX% のサイバー攻撃 (IBM) が内部脅威に起因していることを考えると理解できます。

内部脅威検出ソリューション

外部の脅威に焦点を当てたファイアウォールや侵入検知システムなどの一般的なセキュリティ ソリューションからは隠されているため、内部の脅威は、外部の攻撃よりも検出または防止が難しい場合があります。 攻撃者が認証されたログインを利用した場合、実施されているセキュリティ対策は異常な動作に気付くことができませんでした。 さらに、悪意のある内部関係者が組織のセキュリティ プロトコルに精通している場合、検出をより簡単に回避できます。

単一のソリューションに依存するのではなく、内部関係者による脅威の検出戦略を多様化して、すべての資産を保護する必要があります。 効率的な内部関係者の脅威検出システムは、内部関係者の活動を監視するだけでなく、多数の警告から誤検出を取り除くために、いくつかの方法を統合しています。

機械学習 (ML) 用のアプリケーションを使用して、データ ストリームを評価し、最も重要なアラートをランク付けできます。 潜在的なインサイダー リスクの特定、分析、およびセキュリティ チームへの通知を支援するために、ユーザーおよびイベント行動分析 (UEBA) などのデジタル フォレンジックおよび分析テクノロジを採用できます。

データベース アクティビティの監視はポリシー違反の発見に役立ちますが、ユーザー行動分析は典型的なデータ アクセス アクティビティのベースラインを作成できます。

最も一般的なインサイダーの脅威は何ですか?

最も典型的なインサイダーの脅威

• 過剰な特権アクセス
• 特権の濫用
• SQLインジェクション
• 弱い監査証跡
• データベースの矛盾
• フィッシング攻撃

インサイダー脅威の 3 つの主な動機は何ですか?

• 悪意: 金銭的利益を追求すること、または犯罪に対する報復を求めること
• 過失：不注意または無知
• 妥協：それが表す危険性に気づいていない

インサイダー脅威の 3 つのフェーズとは?

インサイダーの脅威を軽減するための重要なステップは、定義、検出、識別、評価、および管理です。

インサイダー脅威アクターの上位 5 つの指標は何ですか?

• インサイダー脅威の種類
• 不適切なトレーニング
• 効果のないプロセス。
• 仕事での不満。
• 財政難。

脅威の主な XNUMX つのタイプは何ですか?

自然の脅威 (地震など)、物理的なセキュリティの脅威 (停電による機器の破壊など)、および人間の脅威 (内部または外部のブラックハット攻撃など) は、最も広い XNUMX つのカテゴリです。

内部関係者による脅威と見なされないものは何ですか?

信頼性が低く、身元不明の外部ソースからの攻撃は、内部関係者による脅威とは見なされません。 異常なトラフィックの習慣を特定するには、内部者の攻撃から保護するための高度な監視およびログ システムが必要です。

関連記事

• サイバー脅威インテリジェンス: 意味、ツール、アナリスト、給与
• インサイダー取引: 意味、例、株式
• 顧客ロイヤルティプログラムとアイデア（+ 2023年に最も評価の高いプログラム）
• フォレンジック アカウンティングとは: 概要と仕組み

参考文献

• マイクロフォーカス
• ITガバナンス
• エクランシステム