内部関係者による脅威とは?
許可されたアクセス権を持つユーザーを含め、データ セキュリティ インシデントを意図的または意図せずに引き起こす可能性があるユーザーを含む、インサイダー アクティビティから組織を保護する方法について説明します。
内部関係者による脅威が定義されました
内部関係者は脅威である前に、リスクです。リスクとは、悪意を持って、あるいは意図せずに、組織に悪影響を及ぼすような方法で、組織の資産への認可されたアクセス権を使用する可能性のある人物と定義されます。アクセスには、物理アクセスと仮想アクセスの両方が含まれており、資産には情報、プロセス、システム、施設などがあります。
内部関係者とは?
内部関係者とは、一般に公開されていない会社のリソース、データ、またはシステムにアクセスできる、またはそれを知っている、信頼できる個人です。これには、以下が含まれます:
- データ センターや本社など、会社の物理的資産に継続的にアクセスできるバッジやその他のデバイスを持っている人。
- ネットワークにアクセスする会社のコンピューターを持っている人。
- 会社の企業ネットワーク、クラウド リソース、アプリケーション、またはデータにアクセスできる人。
- 会社の戦略と財務に関する知識を有する人。
- 会社の製品またはサービスを構築する人。
内部関係者による脅威の種類
内部関係者は既に組織の資産にアクセスでき、セキュリティ対策に精通しているため、インサイダー リスクは外部の脅威よりも検出が難しくなります。インサイダー リスクの種類を把握することで、組織は貴重な資産をより適切に保護できます。
-
悪意あり
内部関係者による悪意のあるセキュリティ・インシデントでは、従業員や信頼できる人物が、会社に悪影響を及ぼすと分かっていながら故意に何かを行います。このような個人は、個人的な恨みその他の個人的理由によって動機付けられ、アクションをすることで金銭的または個人的な利益を求めている可能性があります。
-
過失
過失は、その人物がデータ セキュリティ インシデントを引き起こすつもりがなかったために発生する事故に似ています。違いは、セキュリティ ポリシーを意図的に破っているかどうかです。一般的な例として、バッジを表示せずに入館するのを許可してしまう従業員がいることです。デジタルに置き換えると、スピードや利便性のためにセキュリティ ポリシーを慎重に検討することなく上書きしたり、安全でないワイヤレス接続を介して会社のリソースにサインインしたりすることになります。
-
共謀
一部の内部関係者によるセキュリティ インシデントは、信頼できる人物がサイバー犯罪組織と協力して、偽装や盗難を行った結果です。これは、悪意のあるインサイダー リスクのもう 1 つの種類です。
悪意のある内部関係者によるインシデントはどのように発生しますか?
内部関係者によって引き起こされる悪意のあるインシデントは、一般的な サイバー攻撃を超えてさまざまな方法で発生する可能性があります。 内部関係者がセキュリティ インシデントを引き起こす可能性のある一般的な方法を次に示します:
-
暴力
内部関係者は、他の従業員を威嚇したり、組織への不満を表明したりするために、暴力や暴力の脅威を用いることがあります。暴力は、暴言、セクシャル ハラスメント、いじめ、暴行、その他の脅迫的な行為の形をとることがあります。
-
スパイ行為
スパイ行為とは、競合他社や他の当事者に利益をもたらす目的で、組織に属する企業秘密、機密情報、知的財産を盗む行為を指します。たとえば、ある組織に悪意のあるインサイダーが侵入し、財務情報や製品の設計図を収集することで、市場での競争優位を得ることができます。
-
妨害行為
内部関係者は、組織に不満を持ち、組織の物的財産、データ、デジタル システムに危害を加えようとする動機を持っている可能性があります。妨害行為は、機器の破壊や機密情報の侵害など、さまざまな方法で発生する可能性があります。
-
詐欺
内部関係者は、個人的な利益のために不正な活動を行う可能性があります。たとえば、悪意のある内部関係者は、会社のクレジット カードを個人使用したり、偽の請求や増加した経費請求を送信したりする場合があります。
-
窃盗
内部関係者は、個人の利益のために組織の資産、機密データ、または知的財産を盗む可能性があります。たとえば、個人の利益に動機付けられた退職した従業員は、将来の雇用主の機密情報を流出させたり、特定のタスクを実行するために組織によって採用された請負業者が機密データを盗んで自分の利益を得る場合があります。
-
7 つのインサイダー リスク インジケーター
人間とテクノロジの両方が、インサイダー リスクを検出する役割を果たします。重要なのは、異常なアクティビティを識別しやすくするには、通常という基準を確立することです。
-
ユーザー アクティビティの変更
同僚、マネージャー、パートナーは、誰かが組織にとってリスクとなるかどうかを知る最も良い立場にいる可能性があります。たとえば、データ セキュリティ インシデントを引き起こす動機のある危険な内部関係者は、異常な兆候として突然観察可能な態度の変化を示す可能性があります。
-
異常なデータ流出
従業員は多くの場合、職場の機密データにアクセスして共有します。ただし、ユーザーが過去のアクティビティや同様の役割を持つ同僚と比較して、異常な量の機密データを突然共有またはダウンロードすると、潜在的なデータ セキュリティ インシデントが示唆されます。
-
一連の関連する危険なアクティビティ
機密データのダウンロードなどの 1 つのユーザー 操作は、単独では潜在的なリスクではない可能性がありますが、一連のアクションは、潜在的なデータ セキュリティ リスクがあることが示唆されます。たとえば、ユーザーが機密ファイルの名前を変更して機密性を低くし、クラウド ストレージからダウンロードし、ポータブル デバイスに保存し、クラウド ストレージから削除したとします。この場合、ユーザーが検出を回避しながら機密データを流出させようとしていた可能性が示唆されます。
-
退職従業員によるデータ流出
多くの場合、データ流出は辞任と共に増加し、意図的である場合と意図的ではない場合があります。意図的でないインシデントとは、退職する従業員が自分の職務における功績を記録しておくために、うっかり機密データをコピーしてしまったような場合であり、悪意のあるインシデントとは、個人的な利益のため、あるいは次の役職に就くために、故意に機密データをダウンロードしたような場合です。退職イベントが他の異常なアクティビティと一致する場合は、データ セキュリティ インシデントの可能性が示唆されます。
-
異常なシステム アクセス
潜在的なインサイダー リスクは、ユーザーが自分の仕事に通常は必要ないリソースにアクセスすることから始まる可能性があります。たとえば、通常はマーケティング関連システムにのみアクセスするユーザーが、突然 1 日に複数回金融システムにアクセスし始めます。
-
脅迫と嫌がらせ
インサイダー リスクの初期の兆候の 1 つは、脅威、嫌がらせ、または差別的なコミュニケーションを表現するユーザーである可能性があります。企業の文化に害を及ぼすだけでなく、他の潜在的なインシデントにつながる可能性もあります。
-
特権エスカレーション
組織は通常、特権アクセスと役割を制限された担当者に割り当てることで、貴重なリソースを保護し、管理します。従業員が明確な業務上の正当な理由なしに特権をエスカレートしようとする場合、潜在的なインサイダー リスクの兆候が示唆されます。
-
内部関係者による脅威の例
データの盗難、偽装、破壊活動などの内部関係者による脅威インシデントは、長年にわたってあらゆる規模の組織で発生してきました。いくつかの例を次に示します:
- 営業秘密を盗み、別の会社に販売する。
- 会社のクラウド インフラストラクチャをハッキングし、何千もの顧客アカウントを削除する。
- 企業秘密を使用して新しい会社を立ち上げる。
包括的なインサイダー リスク管理の重要性
従業員と雇用主の関係に優先順位を付け、プライバシーコントロールを統合する包括的なインサイダー リスク管理プログラムは、潜在的なインサイダー セキュリティ インシデントの数を減らし、迅速な検出につながる可能性があります。Microsoft が実施した最近の調査によると、包括的なインサイダー リスク管理プログラムを利用している企業は、より断片化されたアプローチを持つ企業よりもインサイダー リスクを迅速に検出する可能性が 33% 高く、迅速な修復が行われる可能性が 16% 高いことがわかりました。1
内部関係者による脅威から保護する方法
組織は、プロセス、人、ツール、教育に重点を置くことで、インサイダー リスクに総合的な方法で対処できます。次のベスト プラクティスを使用して、従業員との信頼関係を構築し、セキュリティを強化するインサイダー リスク管理プログラムを開発しましょう:
-
従業員の信頼とプライバシーに優先順位を付ける
従業員間の信頼の構築は、プライバシーの優先順位付けから始まります。インサイダー リスク管理プログラムに対する安心感を高めるには、インサイダー調査を開始するための複数レベルの承認プロセスを実装することを検討してください。さらに、調査を実施しているユーザーのアクティビティを監査して、境界を越えないようにすることが重要です。セキュリティ チーム内で調査データにアクセスできるユーザーを制限するロールベースのアクセス制御を実装すると、プライバシーの維持にも役立ちます。調査中にユーザー名を匿名化すると、従業員のプライバシーをさらに保護できます。最後に、調査を続行しない場合は、一定期間後にユーザー フラグを削除することを検討しましょう。
-
積極的な抑止力を使う
インサイダー リスク プログラムの多くは、リスクの高い従業員の活動を制限するポリシーやツールなど、消極的な阻止に依存していますが、これらの対策と先制予防的アプローチのバランスを取ることが重要です。従業員の意識を高めるイベント、徹底的なオンボーディング、継続的なデータ セキュリティ トレーニングと教育、上向きのフィードバック、ワーク ライフ バランス プログラムなどの積極的な抑止策がインサイダー イベントの可能性を軽減するのに役立ちます。生産的かつ積極的な方法で従業員と関わることで、積極的な抑止力はリスクの原因に対処し、組織内のセキュリティ文化を促進します。
-
全社的な支持を得る
IT チームとセキュリティ チームは、インサイダー リスクを管理する主な責任を負う場合がありますが、この取り組みには全社的な支持が必要です。人事、コンプライアンス、法務などの部門は、ポリシーの定義、利害関係者とのコミュニケーション、調査中の意思決定において重要な役割を果たします。より包括的で効果的なインサイダー リスク管理プログラムを開発するには、組織は会社のすべての分野に支持求める必要があります。
-
統合された包括的なセキュリティ ソリューションを使用する
内部リスクから組織を効果的に保護するには、単に最高のセキュリティ ツールを実装する以上のものが必要です。エンタープライズ全体の可視性と保護を提供する統合ソリューションが必要です。データ セキュリティ、ID とアクセスの管理、拡張検出と対応 (XDR)、およびセキュリティ情報イベント管理 (SIEM) ソリューションが統合されると、セキュリティ チームはインサイダー インシデントを効率的に検出して防止できます。
-
効果的なトレーニングの導入
従業員はセキュリティ インシデントを防ぐ上で重要な役割を果たしており、防御の第 1 線となります。会社の資産をセキュリティで保護するには、従業員の支持を得る必要があります。これにより、組織の全体的なセキュリティが強化されます。この支持を得るための最も効果的な方法の 1 つが従業員の教育です。従業員を教育することで、不注意によるインサイダー イベントの数を減らすことができます。インサイダー イベントが会社とその従業員の両方にどのような影響を与えるかを説明することが重要です。さらに、データ保護ポリシーを伝達し、データ漏洩避する方法を従業員に教える必要があります。
-
機械学習と AI の使用
今日のモダン ワークプレイスにおけるセキュリティ リスクは動的であり、さまざまな要因が絶えず変化し、検出と対応が困難です。ただし、機械学習と AI を使用することで、組織は機械学習の速度で内部リスクを検出して軽減し、適応型およびユーザー中心のセキュリティを実現できます。この高度なテクノロジは、ユーザーがデータを操作する方法を理解し、リスク レベルを計算して割り当て、適切なセキュリティ制御を自動的に調整するのに役立ちます。これらのツールを使用すると、組織は潜在的なリスクを特定するプロセスを合理化し、リスクの高いインサイダー アクティビティに対処する限られたリソースに優先順位を付けることができます。これにより、セキュリティ チームの貴重な時間が節約され、データ セキュリティが向上します。
インサイダー リスク管理のソリューション
組織のために働き、組織とともに働く人々を信頼するのは当然のことであるため、内部の脅威に対する防御は困難な場合があります。最も重要なインサイダー リスクをすばやく特定し、調査して軽減するためのリソースを優先順位付けすることは、潜在的なインシデントや侵害の影響を軽減するために重要です。さいわい、外部の脅威を防ぐ多くの サイバーセキュリティ ツールによって、内部関係者による脅威が特定される可能性もあります。
Microsoft Purview は、情報保護、インサイダー リスク管理、 データ損失防止 (DLP) 機能を提供し、データを可視化し、潜在的なデータ セキュリティ インシデントにつながる可能性のある重要なインサイダー リスクを検出し、データ損失を効果的に防止するのに役立ちます。
Microsoft Entra ID は、だれが何にアクセスできるかを管理するのに役立ち、他のユーザーのサインインとアクセス アクティビティが危険な場合にアラートを生成できます。
Microsoft Defender 365 は、承認されていないアクティビティからクラウド、アプリ、エンドポイント、メールをセキュリティで保護するのに役立つ XDR ソリューションです。サイバーセキュリティやインフラストラクチャ セキュリティ機関などの政府機関も、内部関係者による脅威管理プログラムを開発するためのガイダンスを提供しています。
これらのツールを導入し、専門的なガイダンスを使用することで、組織はインサイダー リスクをより適切に管理し、重要な資産を保護できます。
Microsoft Security についてさらに学ぶ
よく寄せられる質問
-
内部関係者による脅威には 4 種類あります。偶発的な内部関係者による脅威とは、会社で働いている人や会社と一緒に働いている人が、組織やそのデータや人を侵害する可能性のある間違いを犯すリスクです。過失によるインサイダー リスクとは、誰かが故意にセキュリティ・ポリシーを破ったが、危害を加えるつもりはなかった場合を指します。悪意のある脅威とは、誰かが意図的にデータを盗んだり、組織を妨害したり、激しく振る舞ったりする場合です。悪意のある脅威のもう 1 つの形式は、内部関係者が組織外のユーザーと共謀して損害を引き起こす場合です。
-
組織とその人々に大きな損害を与える可能性があるので、インサイダー リスク管理は重要です。適切なポリシーとソリューションを用意することで、組織は潜在的な内部関係者による脅威に先制し、組織の貴重な資産を保護できます。
-
ユーザー アクティビティの突然の変化、一連の危険なアクティビティの接続、仕事に必要のないリソースへのアクセスの試行、特権エスカレーションの試み、異常なデータ流出、退職従業員によるデータ流出、嫌がらせや嫌がらせなど、内部リスクの兆候がいくつか考えられます。
-
セキュリティ インシデントにつながる可能性のある危険なアクティビティが、組織と関係を持ち、承認されたアクセス権を持つ信頼できるユーザーによって実行されるため、インサイダー イベントの防止は難しい場合があります。従業員と雇用主の関係に優先順位を付け、プライバシーコントロールを統合する包括的なインサイダー リスク管理プログラムは、インサイダー セキュリティ インシデントの数を減らし、迅速な検出につながる可能性があります。プライバシー管理に加えて、従業員の士気、定期的なトレーニング、会社全体の購入、統合されたセキュリティ ツールに重点を置いて、リスクを軽減できます。
-
悪意のある内部関係者による脅威は、信頼できる人が組織とそこで働く人々に意図的に損害を与える可能性です。これは、誰かが誤って会社に危害を加えたり、セキュリティ規則を破ったりしたが、会社に害を及ぼすつもりはなかった場合に発生する、意図しないインサイダー・リスクとは異なります。
Microsoft Security をフォロー