データ漏えいの2割が内部脅威によるもの、“身内”のサイバー攻撃対策につながる5つの予防策とは? ESET:内部関係者が関与するセキュリティインシデントは2年間で44%増加
ESETは、テスラで起きたサイバー攻撃未遂事例を引き合いに出しながら、内部脅威によるサイバー攻撃から企業を守るための5つの予防策を公式ブログで解説した。
「テスラの従業員が男から『コンピュータネットワークにマルウェアを侵入させることができるなら100万ドルを提供する』という申し出を受けた。従業員は雇用主に報告し、FBIと協力する正しい行動をとったため、計画は失敗に終わった。2020年に起きたテスラの未遂事件は、従業員が組織の最大の資産であるだけでなく、最大のサイバー攻撃リスクでもあることを教えてくれる」
ESETは2023年7月16日(米国時間)、テスラで起きたサイバー攻撃未遂事例を引き合いに出しながら、内部脅威によるサイバー攻撃から企業を守るための5つの予防策を公式ブログで解説した。
攻撃対象が拡大するとともに内部脅威も拡大
ベライゾンが2023年に行ったデータ漏えい調査報告書(DBIR)によると、約5200件のデータ漏えいのうち19%が内部関係者によるものだった。また、Ponemon Instituteが組織のITおよびITセキュリティの専門家1000人を対象に実施した調査では、内部関係者が関与するセキュリティインシデントの数は2年間で44%増加していた。同社の「2022年内部脅威のコスト グローバルレポート」によると、こうしたインシデントの発生件数は6800件以上に上り、影響を受けた組織は内部脅威への対応に年間1540万ドルを費やしている。
デジタルトランスフォーメーション(DX)の推進、クラウドを活用した柔軟な勤務形態への移行、サードパーティーサプライヤーへの依存に伴い、あらゆる組織の攻撃対象は大幅に拡大している。サイバーセキュリティの状況はかつてないほど複雑化しており、攻撃者はこの複雑さを容赦なく利用しているため、最も重要なリスクを特定し、優先順位をつけることは必ずしも容易ではない。外部からの攻撃を寄せ付けないのは、対策の半分でしかない。にもかかわらず、内部脅威は多くの企業で最優先事項にはなっていない。
内部脅威とは?
内部脅威とは、企業のネットワーク、システム、またはデータに危害を加える可能性のある従業員または請負業者を指す。内部脅威は通常、意図的なものと非意図的なものの2種類に大別され、後者は偶発的な行為と不注意な行為に分けられる。研究によると、インサイダー関連のインシデントのほとんどは、悪意というよりもむしろ不注意や過失によるものだ。
脅威には、機密データの盗難や悪用、内部システムの破壊、悪意ある行為者へのアクセス許可など、さまざまな形態がある。このような脅威は通常、金銭的なもの、復讐、イデオロギー、過失、直接的な悪意など、幾つかの要因によって動機付けられる。
このような脅威は、外部からの攻撃者よりも内部関係者の方がはるかに大きな機会を得ることができるため、検出が困難であり、防止はますます困難だ。ESETは内部脅威のリスクを最小化するために組織は対策を講じる必要があるとした。
内部脅威のリスクを軽減するための5つの予防策
ESETは、内部脅威から企業を守るための5つの予防策を次のように説明した。
1. アクセス制御の導入
ロールベースのアクセス制御(RBAC)などのアクセス制御を導入することで、機密データやシステムへのアクセスを、職務を遂行するために必要な従業員だけに制限できる。
2. 従業員のアクティビティーを監視する
社内のデバイスやネットワーク上での従業員のアクティビティーを追跡する監視ツールを導入することで、インサイダーの脅威を示す不審な行動を特定することができる。ただし、従業員のプライバシーを侵害しないためにも監視に関する明確なガイドライン策定が重要とした。
3. 身元調査の実施
機密データへのアクセスを許可する前に、全ての従業員、請負業者、ベンダーの身元調査を実施することで、潜在的なリスクを特定できるとした。
4. セキュリティ意識向上トレーニングを実施する
従業員に対して定期的なセキュリティ意識向上トレーニングを実施することは、サイバーセキュリティリスクとその軽減方法に関する従業員の理解を深める上で有益である。これにより、次の2点の効果が期待できる。
- フィッシング詐欺などの偶発的な内部脅威の可能性を減らせる
- 個人のサイバー衛生と企業全体のセキュリティ状況の両方が改善でき、効率性と生産性の向上につながる
5. データ損失防止の導入
DLP (Data Loss Prevention)システムを導入すると、機密データの不正な転送や共有を監視、検出、ブロックすることで、データの損失や盗難を防ぐことができる。内部脅威を減らすだけでなく、機密データの保護にも役立つ。ただし、DLPプロバイダーも攻撃者に狙われる可能性があるため、その点には注意が必要とした。
ESETは5つの予防策の中で最も重要なのが、セキュリティ意識向上トレーニングだとした一方で、いずれも単独では確実ではなく、単一のソリューションで内部脅威を完全に排除できるわけでもないと指摘した。
「自社のニーズに合わせ、対策を組み合わせて実施し、セキュリティポリシーを定期的に見直し更新することで、企業は内部脅威への露出を大幅に減らすことができる」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
データ侵害を防ぎたいなら、まずは経営陣を守れ ベライゾン
ベライゾンジャパンは、「2023年度 データ漏えい/侵害調査報告書」を公開した。それによるとランサムウェアはデータ侵害全体の24%を占め、インシデント対応にかかる費用はここ2年間で倍増しているという。
Emotet感染報告は「2021年から約150倍に急増」 デジタルアーツが国内セキュリティインシデントを集計
デジタルアーツは、セキュリティレポートを公開した。2022年の国内セキュリティインシデント総数は、対2021年比約1.5倍の1031件。「マルウェア感染」「誤操作、設定不備」「紛失、盗難」「不正アクセス」が、件数で上位を占めた。
大阪急性期・総合医療センターのランサムウェア被害、当事者が語る復旧の道のりと教訓
ランサムウェア被害を起こさないためには、どのような取り組みが重要なのか。ランサムウェア被害を受けたとき、いち早く復旧するためのポイントとは何か。2023年6月に開催されたInterop Tokyo Conference 2023で、大阪急性期・総合医療センターのランサムウェア感染対応に当たった2人が講演した。