内部関係者の脅威とは、組織内から発生するセキュリティ リスクを指します。外部からの脅威とは異なり、これらの脅威は意図的または非意図的である可能性があり、暴力、スパイ行為、妨害行為、窃盗、サイバー行為など、さまざまな形で現れる可能性があります。インサイダーとは、従業員、請負業者、ベンダー、パートナー、幹部など、組織の資産へのアクセスを許可された人物と定義されます。内部関係者の脅威は、外部の脅威よりも検出が困難です。なぜなら、彼らは多くの場合、職務上のデータに合法的にアクセスでき、その痕跡を隠す方法を知っているからです。これらは多用途であるため、人間の行動に関連するすべてのリスクをゼロに減らす単一のアプローチやパッチはありません。それを考えると、人間の脅威に対する認識を高めることと、行動分析ツールが最も信頼できる防御方法です。インサイダーの脅威社内で。
2 種類のインサイダー脅威とは何ですか
ほとんどのデータ侵害の原因は内部関係者の脅威です。さらに、従来のサイバーセキュリティ戦略は外部の脅威に焦点を当てていることが多く、組織は内部からの攻撃に対して脆弱になります。不注意な内部関係者によるセキュリティ上の脅威不注意で発生するものであり、多くの場合、人的ミスの結果として発生します。悪意のある内部関係者一方で、組織に損害を与えるためにデータを意図的に悪用します。
内部関係者の脅威の例
内部関係者の脅威には、意図的または非意図的なものがあり、暴力、スパイ活動、妨害行為、窃盗、サイバー行為など、さまざまな形で現れる可能性があります。内部関係者の脅威の例をいくつか示します。
- 退職する従業員たち。退職する従業員は、意図的か非意図的かにかかわらず、機密データを持ち帰る可能性があります。
- 悪意のある内部関係者。これらの内部関係者は、組織に損害を与えるためにデータを意図的に悪用します。データを盗んだり、システムを妨害したり、その他の悪意のある活動に従事したりする可能性があります。
- 怠慢な労働者。これらの内部関係者は、孤立したエラーによりセキュリティ インシデントを引き起こします。たとえば、安全でない個人用デバイスに知的財産を保存する可能性があります。
- セキュリティ回避者。これらの内部関係者は、セキュリティ対策を意図的に回避して機密データやシステムにアクセスします。
- 内部エージェント。これらの内部関係者は外部の攻撃者と協力してデータを盗んだり、組織に損害を与えたりします。
- サードパーティ請負業者。これらの内部関係者は機密データやシステムにアクセスできる可能性があり、そのアクセスを悪用すると脅威となる可能性があります。
内部関係者のサイバー脅威から保護し続ける方法
サイバーセキュリティ戦略を導入することで、組織は内部関係者の脅威のリスクを軽減し、重要な情報とシステムを保護できます。企業はサイバーセキュリティに対して積極的なアプローチをとり、内部関係者の脅威の防止と検出を優先する必要があります。
データ保護
データ保護はあらゆるビジネスにとって重要な側面であり、特に今日のデジタル時代では、膨大な量の機密情報が収集および処理されます。継続的な監視と認知分析は、あらゆるカテゴリのサイバーセキュリティ脅威からこの機密データを保護するのに役立ちます。データ保護対策を適切に適用することで、組織とその顧客の両方をデータ侵害、プライバシー侵害、法的影響から守ることができます。これには、データ プライバシー法と規制の理解と、インシデント対応計画 (IRP) の策定が含まれます。
行動分析にコグニティブ分析を採用
サイバー セキュリティにおけるコグニティブ分析は、脅威の検出と対応を向上させるために、多くの場合人工知能 (AI) や機械学習 (ML) を活用した高度な分析技術を使用することです。これは、複雑なデータを理解し、進化する脅威に適応する人間のような認知能力を組み込むことで、従来の方法を超えています。行動分析と機械学習を使用して、通常のユーザー行動のベースラインを確立します。これは、内部関係者の脅威を示す可能性のある標準からの逸脱を特定するのに役立ちます。コグニティブ分析を適用するアプリケーションとプラットフォームの例には、IBM Watson、Cisco Stealthwatch、Microsoft Azure Sentinel、Google Cloud の Chronicle などがあります。
従業員のトレーニングと意識向上
基本的な脅威に対処し、データ保護における既存のギャップを埋めるためのもう 1 つの強力な方法は、サイバー セキュリティのベスト プラクティスについて従業員を適切にトレーニングすることです。フィッシング、ソーシャル エンジニアリング、データ盗難などの内部関係者の脅威に関連するリスクについて認識してもらいます。トレーニングを定期的に更新して、従業員に最新の脅威に関する情報を提供します。
内部の脅威を軽減する
前述のすべてを考慮すると、インサイダー リスクに対する適切な保護を作成するには、人間の行動の大きな変化を理解する必要があります。これには、ネットワークのセグメント化と多要素認証 (MFA) の適用が含まれます。また、厳密なアクセス制御を実装し、最小特権の原則に従う必要があります。これにより、従業員は特定の役割に必要なデータとシステムにのみアクセスできるようになり、必要に応じてアクセス権限を定期的に確認して調整できるようになります。同様に、行動パターンや異常に基づいて潜在的な内部脅威を特定できる、専用の内部脅威検出ツールやサービスの使用を検討してください。
ホワイトリストとブラックリストを作成する
ホワイトリストとブラックリストは、リソース、アプリケーション、Web サイト、またはデバイスへのアクセスを制御するために使用される 2 つの標準的なセキュリティ手法です。これらは、信頼できるエンティティまたは信頼できないエンティティの事前定義されたリストに基づいてアクセスを許可または拒否することにより、セキュリティを強化するために使用されます。ホワイトリストへの登録これは、既知で承認され、明示的に指定されたエンティティのみが特定のリソースまたはサービスへのアクセスを許可されるセキュリティ慣行です。ブラックリストへの登録既知のエンティティ、未承認のエンティティ、または明示的に指定されたエンティティが特定のリソースまたはサービスへのアクセスを拒否されるセキュリティ慣行です。
データを暗号化する
暗号化は、データを読み取り不可能な形式に変換することでデータを保護するために、サイバーセキュリティと情報保護で使用される基本的な技術です。このプロセスには、暗号化アルゴリズムと暗号化キーを使用して、元の情報 (平文) を暗号文にエンコードすることが含まれます。暗号化により、権限のない個人が暗号化されたデータにアクセスしたとしても、適切な復号化キーがなければ解読できないことが保証されます。特に機密データを転送する場合は、暗号化を適用する必要があります。
内部関係者による脅威の一般的な兆候は何ですか
内部関係者の脅威は検出が難しい場合がありますが、組織が潜在的な内部関係者の脅威を特定するために注目できる一般的な兆候がいくつかあります。内部関係者の脅威の一般的な兆候のいくつかを次に示します。
- 異常なログイン動作。内部関係者は、通常とは異なる時間に、または通常とは異なる場所からログインする可能性があります。
- アプリケーションへの不正アクセス。内部関係者は、職務上必要のないアプリケーションやデータにアクセスする可能性があります。
- 従業員の異常な行動。内部関係者は、変則的な時間で働いたり、職務内容を超えたタスクを引き受けたりするなど、異常または不審な行動を示す場合があります。
- 権限昇格。内部関係者は、職務に必要なレベルよりも高いレベルの特権へのアクセスを取得しようとする可能性があります。
- 不満や憤り。不満や憤りを抱いている内部関係者は、悪意のある行為を行う可能性が高くなります。
- 孤立したエラーによる安全な動作。過失のある内部関係者は、安全な行動を示し、情報セキュリティ ポリシーを遵守する可能性がありますが、安全でない個人用デバイスに知的財産を保存するなど、単独のエラーによりセキュリティ インシデントを引き起こす可能性があります。
- 異常な活動。異常なアクティビティはすべて内部関係者の脅威を示している可能性があります。
内部関係者による脅威を検出した場合の対処方法
社内の内部関係者の脅威を特定したら、すぐに次の手順に従って被害を最小限に抑えます。
- 脅威を封じ込める: 機密データやシステムへの内部関係者のアクセスを無効にすることで、脅威を即座に封じ込めます。
- 事件を調査する: インシデントを調査して被害の範囲を特定し、脅威の原因を特定します。
- 適切な関係者に通知する: 必要に応じて、法執行機関や影響を受ける個人などの適切な関係者に通知します。
ただし、インシデント対応担当者がいる場合は、セキュリティ プロバイダーに連絡できます。その後、攻撃後に必要なあらゆる措置を講じ、対策を講じます。感染したマシンはすべてそのままにしておくそして、緊急ランサムウェア駆除サービス。システムを再起動またはシャットダウンすると、回復サービスが損なわれる可能性があります。稼働中のシステムの RAM をキャプチャすると、暗号化キーの取得に役立つ場合があります。また、ドロッパー ファイルをキャプチャすると、リバース エンジニアリングが行われて、データの復号化やデータの動作の理解につながる可能性があります。
