敵は内にあり！？組織内の内部脅威を防ぐ方法について解説！

外部からのサイバー脅威はよく注目されますが、内部からの脅威はどうでしょうか？

２０２２年第３四半期だけで１億８９０万件のアカウントが侵害されたと報告されており、データ侵害のリスクを下げることは、企業経営者にとって重要な課題であるはずです。ただ、リモートワークの増加に伴い、社内の脅威への対策は以前よりも難しくなっています。

そこで本記事では、内部脅威とは何か、それを見抜く方法や防ぐための重要なポイントについて解説いたします。

内部脅威とは？

内部脅威とは、機密データ、ファイル、アプリケーションにアクセスできる個人、第三者、または団体によって引き起こされるセキュリティリスクを指し、バーチャルコールセンタープラットフォームのバックドア、巧妙なソーシャルエンジニアリング、または単に脆弱なパスワードを通じて発生する可能性があります。

このような脅威はますます一般的になってきています。それは事故として起こるものだったり、何らかの不満を持つ個人の行動である場合もありますが、外部の人間がスタッフを標的にして近づくという、より大きな計画の一部であることもあります。

内部脅威の種類

一般的に、内部脅威は次の３つのカテゴリーに分類されます。

１．悪質な内部脅威

悪質な行為者の中には、現従業員、元従業員、第三者、またはパートナーである場合があります。このような犯罪者や悪意のある内部関係者は、復讐、詐欺、恐喝、破壊工作、さらにはスパイ活動のために、特権的アクセス権を使って意図的に会社のデータや知的財産を盗みます。

そのような脅威のひとつに、企業秘密を盗む離職者がいます。コンピュータセキュリティソフトウェア大手の McAfee でさえ、顧客リスト、販売戦術、価格設定データなどの機密データを無許可の USB やメールアドレスに移した元従業員３名を相手取って訴訟を起こした事象があります。

２．過失による内部脅威

サイバーセキュリティに対する意識の低い従業員は、不注意や経験不足から、過失による内部脅威の発生源となることがよくあります。

内部関係者の過失の小規模な例としては、従業員が多忙なオフィス環境でコンピュータのロックを開けっ放しにしてサイバーセキュリティプロトコルに違反した場合があります。一方では、ペガサス航空は２０２２年、設定ミスのデータベースから保険書類や平文のパスワード情報など２３００万件の機密ファイルが誤って流出したと報告しました。

さらに読む：パスワードの暗号化とは、どの程度まで可能なのか？

３．不慮の内部脅威

ほとんどの事故にはある程度の過失が含まれていますが、偶発的な内部脅威は、そもそも自分たちが危険にさらされていることに大体気づいてません。

意図的でない脅威の例としては、オンラインリモートのサポート担当者がメールアドレスの入力を誤り、競合他社に企業秘密を送信してしまうことがあり、競合他社が何かしらの行動を起こすまでこの事象が発生したことに気づかないかもしれません。これは意図しない不運な事故ですが、それでも大きな脅威となります。

既存の内部脅威を検知する方法

内部脅威は、システムやデータへの正当なアクセス権を持っているため、ますます検出が難しくなっています。「予防は治療に勝る」とよく言いますが、ビジネスに潜在的な脅威があるとしたらどうしますか？以下で既存のリスクを発見する３つの方法を見てみましょう。

監査、監査、とにかく監査が重要！

効果的な内部脅威セキュリティ監査は、あらゆる脆弱性を突き止め、あらゆるバックドアを塞ぎ、システムの欠陥を取り除いてくれるはずです。

セキュリティ監査チェックリストを最大限に活用するために、以下の点を考慮すべきです。

• 会社のセキュリティの方針
• セキュリティ方針のトレーニング 
• コンピュータソフトウェアとハードウェアの資産リスト
• パスワードのトレーニングと導入
• BYOD（個人のデバイス持ち込み）計画
• ソフトウェアパッチ管理の自動化

ビジネスのこのような側面を監査することで、リスクになりそうな領域が浮き彫りになり、脅威となる前に変更を加えることができます。例えば、BYOD ポリシーにデータのダウンロード方法に関する制限がない可能性がありますが、それは、誰かが機密データをダウンロードしたらそれを簡単に共有できるということになります。これに対抗するには、許可されたアプリからのみデータにアクセスできるようにし、データをダウンロードするオプションは設けないようにするといいでしょう。

さらに読む（英語）：What is a Security Audit and Does My Business Need One?（セキュリティ監査とは、ビジネスへの必要性）

データの整理方法を見直す

データは貴重なものであることから、それが通常は内部脅威の標的になります。監査では、データへのアクセス方法を見直すべきですが、それだけにとどまらない方がいいでしょう。例えばアクセス方針でリスクが最小限に抑えられますが、強力なデータ品質管理フレームワークがなければ、潜在的な侵害の可能性はまだ残されています。

既存のストレージシステムやデータに関連するプロセス、そして集めるデータの内容を把握しましょう。厳密には必要のない機密データが集められていませんか？それを取り除くことで、悪意ある行為者による攻撃のリスクが１つ取り除かれます。

データはオンサイトで保存されていますか？物理的な脅威を減らすために、安全なクラウドソリューションへの移行を検討しましょう。

ユーザー行動およびアクティビティ監視ソフトウェア

ユーザー行動分析（UBA）は、ユーザーがどのように行動しているかについての貴重な観察を集めるのに使われ、ユーザー行動モニタリング（UAM）と共に使われることが多く、それで特にどのような Web サイトがアクセスされているかなどのインサイトが得られます。

これを導入していれば、脅威となる可能性のあるスタッフを確認できます。悪意がある必要はなく、例えば、あるユーザーが Only Domains の.NZドメインをタイプミスし続け、間違った場所に移動しても気づかないことに気づいたら、それが問題になる前に的を絞ったトレーニングで介入するといいでしょう。

内部脅威を防ぐ５つの方法

既存のリスクに対処する方法についてはお話ししましたが、将来のリスクを防ぐにはどうすればいいのでしょうか？以下でその重要なステップを５つ見てみましょう。

１．セキュリティ方針の策定

内部脅威に対する強固なセキュリティ方針の策定は、機密データと企業資産を全て保護するのに非常に重要です。これは、公開 Web サイトからイントラネット、CRM（顧客関係管理）ツールまで、すべてカバーされるべきです。

それらは幅広く、次のような領域が含まれるべきです。

• パスワード要件
• BYOD およびその他のハードウェア制限
• データ管理
• 許容される使用 
• リモートアクセス 
• 許可制アクセス

理想的には、その方針は外部のコンサルタントを取り入れることも含めて、セキュリティのスペシャリストと協力して策定されるべきです。そして、これは「一回限り」のものとして扱われるのではなく、新しいソフトウェアや最新のサイバーセキュリティのトレンドに対応して変更する、常に進化し続けるドキュメントとなるべきです。

２．社内全体でのトレーニング

特に複雑なサイバーセキュリティの世界では、知識は武器になります。IT スタッフだけでなく、企業の全従業員が、内部脅威（およびサイバーセキュリティ全般）に関するトレーニングを受けるべきです。

これは、過失や事故による脅威に対抗する最善策のひとつです。また、全社的なトレーニングを実施するだけでなく、特定のニーズに基づいた小規模で的を絞ったセッションも実施するのもいいでしょう。例えば、営業部門が定期的に顧客から個人情報を入手しているとしたら、データプライバシーの方法についてトレーニングを受けるべきです。

３．パスワードの規則と制限

結局のところ、潜在的な内部脅威に対する防御の第一線はパスワードです。そのため、チーム内で強固なパスワード文化を確立することが、脅威を寄せ付けないことにつながります。従業員が複数のアプリやサイトでパスワードを使い回していないことを確認し、強力なパスワードとは何かについて詳しく説明しましょう。

会社のパスワードを管理する最も安全で簡単な方法に、TeamPasswordのようなパスワードマネージャーの使用が挙げられます。パスワードマネージャーで、従業員はログイン情報やその他の機密記録を作成、保存、共有できる暗号化された環境を得られます。

そしてこれは、ソフトウェア購入の際にも考慮すべき点です。例えば、最高のコンタクトセンター・ソフトウェアには、安全性を維持するために 2FA（2段階認証）や MFA（多要素認証）のパスワード認証が含まれているはずです！提供するツールが強力なパスワード保護と暗号化を備えていることを確認することは、従業員を保護し、場合によっては従業員の仕事がしやすくなることさえあります。

４．退職する従業員への明確な対策

退職する従業員に対してしっかりとした対策を持つことは、入社時のプロセスと同じくらい重要であり、退社面接を通じてフィードバックを集めるだけでなく、潜在的な脅威を減らすチャンスにもなります。

オフボーディング（退職に関する処理）で使える方法には、以下のようなものがあります。

• 退職後に、直ちにアカウントアクセスを削除
• 個人デバイスからのモバイルアプリアクセスの停止
• 関係者への退社の通知
• 共有ログイン情報の変更

これは、従業員が解雇されたり、離職した場合に特に重要ですが、全体的に適用されるべきです。

５.　物理的なセキュリティ方法

万が一の場合でも、定期的にデータをバックアップしておけば、システムが危険にさらされても重要な情報が失われることはありません。アウトバウンドコールセンターソフトウェアやデータ分析プラットフォームなど、大抵のツールにはクラウドストレージのオプションが付属しているので、それを活用するといいでしょう。

ただし、すべてをクラウドに保管できるわけではありません。スタッフが機密データの入ったノートパソコンを持っているかもしれませんし、オフィスに新製品のプロトタイプがあるかもしれません。そのため、デジタル的な脅威と同じように、物理的な脅威も考慮することが重要です。

例えばカードキーや暗証番号でオフィスへの出入りを制限し、必要であればスタッフにテクノロジーを安全に保管できる場所を提供しましょう。親切な人は、訪問者にドアを開けてあげたくなるかもしれませんが、このような「ソーシャル・エンジニアリング」は、立入禁止区域へのアクセスに使われる可能性があるのです。

今後も内部脅威は猛威を振るう？

組織の存続と将来の成功には、脅威の早期発見と緩和が非常に重要です。

内部によるセキュリティ侵害を検知し、それを防ぐための正しい知識を従業員、ステークホルダー、役員に提供することで、その防御は強化されます。時間をかけて明確なセキュリティ方針を作成し、明確なオフボーディング・プロセスを設計しましょう。内部脅威は常に進化しています。