はじめに
サイバー分野における脅威は外部の攻撃者とその帰属、そして彼らが利用するツールや手法が常に注目されています。しかし外部の攻撃者以上に対応が困難で被害も多く出ているのが内部関係者による攻撃、すなわちインサイダーの脅威です。実際、従業員や元関係者による情報漏洩等は頻繁に報道されています。その要因の一つは性善説に基づいたインフラの設計・運用にあります。多くの組織では「内部関係者や機器は信頼できる」ことが前提とされてきたためです。しかし繰り返される内部関係者に起因するインシデントや事故から、こうした体制を見直す機運が少しずつですが出てきています。インサイダーの脅威に対応するガイドラインとなる研究が、NATO (北大西洋城機構)加盟国に対してサイバー防衛の情報連携と訓練を行なっている NATOサイバー防衛協力センター(Cooperative Cyber Defense Centre of Excellence 。以下CCDCOE) から2015年に発表されています。本稿はこのガイドラインの概要を紹介し、今後の企業に必要なインサイダー脅威への対応策を検討します。
インサイダー脅威検出に関する研究
CCDCOE が発表したこの研究はインサイダー脅威の定義、分類、対応策の構築、検出ガイドなどを含む多面的かつ網羅的な構成となっています。ここでは定義、分類、検出に関して見てみます。
定義
一般的に「インサイダー」は組織のメンバー、外部業者を含むビジネスパートナー、以前在籍していた人などがあげられます。この研究ではインサイダーを「内部・外部」や「悪意の有無」ではなく、組織に損害を与える可能性として知識、アクセス、信頼の3つで分類しています。
- 知識: 内部システムに関する特権的な知識がリスクになるケースがあります。例えば利用しているシステムの脆弱性があったり、認証フローを回避する方法が知られている場合は組織を危険にさらします。
- アクセス: ネットワークやシステム、データへのアクセスはリスクにつながります。適切なIDとパスワードを利用してサーバへのアクセスが認証・承認されたとしても、それが悪意のあるアクセスかどうか、はまた別の話だからです。
- 信頼: 組織からの信頼によって組織に属し、社内のリソースにアクセスし、行動できる人はまたリスクです。
分類
インサイダー脅威の類型として以下の5つを定義しています。
- 妨害: 復讐を動機とし組織の運営などの妨害を行う。技術的知識がある人が多い。
- 知財の窃盗: 組織の情報を窃取し、新たな仕事に活用しようとする。科学者やエンジニア、プログラマ、営業に多い。
- 詐欺: 金銭を目的として汚職や不適切な監査を行う。職位の低い従業員や中位以下の管理職に多い。
- スパイ: 地位に対する不満や金銭欲から情報を盗み出す。技術的、非技術的職位の両方で見られる。
- 意図しないインサイダー: 悪意はないが、なんらかの活動・非活動が外部の攻撃者によって悪用され、結果的に組織に損害を与える。
興味深いのは、「悪意のない内部関係者」をインサイダーのリスクとして捉えている点です。先の定義にもあったように、悪意の有無や内部の人かどうかは関係なく組織に損害を与えるリスクは存在するからです。例えばメールのリンクをうっかりクリックしてしまう、脆弱なパスワードを利用している、パッチの適用を忘れてしまうなど、外部の攻撃者を意図せず招き入れてしまうリスクはどの組織にも存在します。
検出
インサイダー脅威を検出するための指標として、この研究では非技術的分類と技術的分類を提示しています。
非技術的検出指標
- 個人の指標: 個人やその家族をとりまく状況など
- ふるまいの指標: 従業員による作業環境内での行動など、直接観察可能なもの
- 履歴の指標: 職歴など客観的な履歴記録に基づくもの
ここでは詳しく紹介しませんが、非技術的な指標は従業員または関係者にとって非常にデリケートな問題となります。人事などの専任の担当者やカウンセラーが対処する必要があります。
技術的検出指標
- コンピュータネットワークの指標: 境界だけでなく、外部との通信やLANトラフィックも含めてモニタリング
- クライアントの指標: 組織内で利用する端末やモバイルデバイスのモニタリング
- サービスの指標: サーバーやサービスへのアクセスのモニタリング
こうした項目はITやセキュリティ部門が通常行なっているセキュリティモニタリングと同様です。例えばCCDCOEの研究にあるコンピューターネットワークの検出例として以下の表があげられていますが、インサイダー脅威の種類によって各項目の発生頻度が異なります。
妨害 | 知財の窃盗 | 詐欺 | スパイ | 意図しない | |
競合他社との通信 | 低 | 高 | 高 | 中 | 低 |
常識外のサイズのメール | 低 | 高 | 高 | 高 | 低 |
アンダーグラウンドサイトへのアクセス | 中 | 高 | 低 | 中 | 低 |
IRCなど怪しいプロトコルの利用 | 低 | 高 | 低 | 低 | 高 |
TorやVPNなど怪しいサービスの利用 | 低 | 高 | 低 | 低 | 低 |
攻撃ツールの実行 | 中 | 高 | 低 | 中 | 低 |
マルウェアの実行 | 中 | 低 | 低 | 低 | 高 |
発信接続数の異常なピーク | 中 | 高 | 低 | 高 | 低 |
未認可デバイスをネットワークに接続 | 中 | 高 | 低 | 高 | 中 |
不許可ソフトウェアのダウンロード | 高 | 中 | 低 | 中 | 中 |
終業時間外にネットワーク接続の開始 | 中 | 高 | 低 | 中 | 高 |
表1: インサイダー脅威別ネットワーク検出指標
外部から侵入してくる攻撃への対処とは異なり、インサイダー脅威のリスクへの対処には技術的検出指標と非技術的検出指標の双方を総合的に判断することで早期発見につなげることができます。これは従来セキュリティを担ってきたITなどの技術部門だけで実行することは難しく、人事や総務といった部門と協力して対応していく必要があります。技術部門と非技術部門双方をつなぐため経営層によるリーダーシップの発揮と実行力が不可欠です。
まとめ
インサイダーのリスクは単純に「悪意のある内部関係者」だけにとどまりません。特に急速なクラウドやリモートワークの広がりは組織とその運営が複雑化していく傾向が高いため、見落とされるインサイダーリスクが増加する可能性があります。経営層は技術部門と非技術部門の双方を率い、自社のビジネスリスクに対応していく必要があります。その際は、インサイダーリスクの大きな要因である「信頼」に対抗するため、ゼロトラストをベースにしたアプローチを導入することで、リスクの低減とセキュリティの強化を行いましょう。