オフィス内に潜むインサイダー脅威

脅威情報
2010.12.14

前回の記事では、インサイダー脅威を取り巻く状況と、その見極め方について取り上げました。今回は、このようなインサイダーの出所が判明している際、企業はどのようにインサイダー脅威に対抗すべきか、について解説します。

疑わしい行動を見極めるための任務を担っているのは、IT部門だけではありません。人事部門や法務部門といったその他の事業部門も、このプロセスには不可欠です。人事部門の役割は、インサイダー脅威になりそうな従業員を示唆する異常行動をマークすることです。法務部門は、解雇に値する違反行為となる恐れのある技術を特定し、事前に説明する必要があります。このようなインサイダーの脅威に適切に対処するために、経営陣は積極的に従業員とコミュニケーションを図っていく必要があります。

インサイダーの脅威は、必ずしも回避できるとは限りません。CIAやFBI、NSAといった世界屈指の安全な政府機関は、詳細な素性調査を行い、ポリグラフ検査、いわゆる嘘発見器を常用していますが、それでも各機関には様々なインサイダーが入り込んでいます。素性調査は重要ですが、万全の指標ではありません。その一方で、インサイダー脅威の原因として、動機付け要素、チャンス、抑制の欠如、誘因という常に変わらない共通の特徴があります。これらの特徴はすべて、潜在的インサイダーを見極める上で役立ちます。インサイダー脅威の動機は、特に政府や金融機関の内部における要求や欲であることがほとんどです。

特に銀行では、行員は1件約1ドルの価値のあるCVV2（カード確認番号）にアクセスできます。CVV2には、クレジットカード番号、有効期限、氏名、住所、セキュリティコードが含まれています。行員が仮に10,000件にアクセスすれば、1万ドルがその懐に入ります。CVV2に生年月日、母親の旧姓、社会保障番号、出生地を足せば、個人のプロフィールとしては十分です。このようなプロフィールには、1件あたり約10ドルの値打ちがあります。潜在的インサイダーの人格特性を知り、彼らのアクセス先を把握することが、脅威の予防には欠かせません。

前回述べたとおり、インサイダー脅威は簡単で確実です。情報をアップロードしたり、悪意のあるソフトウェアをシステムにインストールしたりする程度のわずかな手間しか要しません。また、不注意から実行されてしまうケースもあります。ちょっとしたツイートや投稿で内部情報が漏れ、株価や会社の業績を左右する可能性もあります。その一方、ほとんどのインサイダー脅威は実行に数分しか要しないにも関わらず、終息には1日～数カ月を要する場合がほとんどです。

発見した時点で大切なのは、「このインサイダーは他に何を行ったのか」、「どのくらいの間続いていたか」、「誰が巻き込まれたか」という3つの質問をすることです。インサイダーは通常、長期間に渡り何度も犯行を行っています。

インサイダー脅威のリスクを緩和するための、予防要素を以下に述べてみましょう。

重大な資産のある場所を特定する（サーバー、財務、権限、バックアップなど）。
ファイアウォールなどのアクセス制御を行う。
IPS、DLPといったインシデント検出を増やす。
相関検出やパターン発見といったマシンベースの分析結果を結集させる。
人と技術を組み合わせてインサイダー脅威を検出し、複雑性を軽減する。
事後に監査を行い、違反発生時期を調べる。
従来の分析結果と脅威情報を組み合わせて、インサイダー脅威を俯瞰する

インサイダー攻撃は、必ずしも1人の責任ではありません。マルウェアは、犯人が捕まるよりずっと以前に発生していた可能性もあります。従来の分析と脅威情報を併用することで、潜在的なインサイダーが実際には外部からの攻撃の犠牲者だったことが明らかになる場合もあります。

企業にとっての最善の防護策は、標的となる資産を認識し、ユーザーが資産にどのように接触しているかを監視し、脆弱点を把握して対策を講じることといえるでしょう。例えば、機密データを不必要に移動することを規制したり、機密性のあるテーマについてインターネット上に書き込めないようにしたりすることが重要です。また、経営幹部のリーダーシップ、人事部門など別事業部門とのチームワークやセキュリティを日頃から培っておくことが、インサイダー脅威と闘うためには必要なのです。