オフィス内に潜むインサイダーの脅威（第1回）

内部関係者による犯行は企業にとって深刻な脅威になります。今回はインサイダーの脅威に関わってしまう人間の特徴を探ります。

[Brian Contos，McAfee Blog Central]

（このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。）

　セキュリティの世界において、インサイダーの脅威は企業が直面する最も致命的な脅威の1つです。インサイダーの脅威は、なぜその被害が非常に大きくなるのでしょうか。それは人目につかず、容易で素早く的確に行われるためであり、特定することが困難であるからです。

　インサイダーの脅威とは通常、機密データに問題なくアクセスできる人間が、（意図的に）重要な資産に侵入することを指します。彼らは、自分の仕事のために機密データや重要な資産にアクセスする必要があるので、システムを偵察したり、脆弱性の有無を調べたりするような手段を用いなくても、どこに行き、どのようにすれば情報を入手できるかを正確に理解しています。つまり、IPSやファイアウォール、その他のコントロール手段に検知されてしまうような行動は一切とりません。インサイダーは、彼らに求められる本来の活動に（表面的には）従事しているため、その脅威を発見することが非常に難しいと言えるでしょう。

　機密データへのアクセスは彼らの職務の一部ではありますが、それと同時に、脅威を特定する際の注意信号にもなります。「ほかの社員よりも頻繁に機密ファイルにアクセスする」「非常に重要とみなされる情報にアクセスする」「通常ではない場所からアクセスする」「普通ではない時間（例えば午前3時）に情報にアクセスする」といった活動は、疑わしい可能性があります。

　また、実際に悪意があるというよりは、不注意や過失の可能性もあります。脅威が不注意によるものか、それとも背後に動機があるものかを見分けることは、非常に困難です。その他にもインサイダーの脅威には、“ハイテク”よりも“ローテク”の方が有効という特徴があります。機密データを持ち出すためには、システムに抜け道を作成する必要はなく、データをHDDやUSBメモリにコピーするだけで十分だからです。

　社内にいるこうしたインサイダーとは、いったい誰なのでしょうか。ほとんどの場合、社員、特権を持った管理者、パートナー、コンサルタント、顧客といった組織内部の人間です。普段、私たちは人間として間違ったことをしたがらないものですし、人間の良心に期待してしまう傾向にあります。しかし、悪人はそのことを熟知しており、内部から組織に侵入しようとします。社内の人間に関するネガティブな情報を入手して、機密データを獲得するために「この情報を利用するぞ」と脅す場合もあります。

　企業が知らないうちにインサイダーを採用しているケースもあります。1年ほど前、シンガポールにおいて犯罪カルテルが多くの金融機関に社員を送り込み、個人情報や金融情報を盗み出していました。また、個人的もしくは職業的な理由から、さらには政治理念から、個人が悪意を持つこともあります。

　オルドリッチ・エイムズという人間は1962年にCIAで働き始め、20年後には機密情報をソビエト（当時）に売り渡すようになりました。インサイダーとなるまでの彼のキャリアは非常に長いものでした。ロバート・ハンソンは1976年にFBIに入局し、3年後に政府の機密情報を持ち出しました。エイムズもハンソンも、現在は仮釈放なしの終身刑に服しています。1960年代には元NSA職員のロバート・ペルトンが、ウィーンでの休暇中に政府の機密情報を現地に駐在するKGBの幹部に売り渡すことを決意しました。彼には3回もの終身刑が宣告され、刑に服しています。

　インサイダーには身体的なプロフィールはありませんが、心理的な警告サインが幾つか存在しています。そのサインとしては、反社会的な行動、自己中心主義、過剰な優越感、または一種の不名誉な出来事の経験（離婚、不倫、破産、麻薬の常用）などがあります。

　インサイダーの脅威はITの問題だけではありません。法律、人事、経営管理と常に密接に関係しています。次回はインサイダーの脅威を特定するために、企業がITとどのように連携すべきか、また、企業が事前に行動してインサイダーの採用を回避するためにできることは何かについて解説します。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

原文へのリンク