オフィス内に潜むインサイダーの脅威(第2回)

内部関係者による犯行は深刻な脅威になります。今回はインサイダーの脅威を回避するために、企業ができることとは何かについて解説します。

» 2010年12月14日 16時58分 公開
[Brian Contos,McAfee Blog Central]

(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 前回の記事では、インサイダーの脅威を取り巻く状況と、その見極め方について取り上げました。今回はインサイダーの所在が明らかになったときに、企業としてどのように対抗すべきについて解説します。

 疑わしい行動を見極めるための任務を担っているのは、IT部門だけではありません。人事部門や法務部門といった、その他の事業部門もこの任務には不可欠です。人事部門の役割は、インサイダーの脅威になりそうな従業員が示唆する異常行動をマークすることです。法務部門は、解雇に値する違反行為となる可能性の高い技術を特定し、関係先に事前に説明する必要があります。このようなインサイダーの脅威に適切に対処するには、経営陣が積極的に従業員とコミュニケーションを図っていく必要があります。

 インサイダーの脅威は、必ずしも回避できるとは限りません。CIAやFBI、NSAといった世界屈指の政府の安全保障機関は、詳細な素性調査を行い、ポリグラフ検査――いわゆるうそ発見器を常用しています。しかし、それでも各機関にはさまざまなインサイダーが侵入しています。素性調査は重要ですが、万全な指標ではありません。その一方でインサイダーの脅威の原因として、「動機付け要素」「チャンス」「抑制の欠如」「誘因」という常に変わらない共通の特徴があります。これらの特徴は、すべて潜在的なインサイダーを見極める上で役立ちます。インサイダーの脅威の動機は、政府や金融機関の内部における「要求」や「欲」であることがほとんどです。

 例えば銀行では、行員が1件当たり約1ドルの価値のある「CVV2」(カード確認番号)にアクセスできます。CVV2には、クレジットカード番号、有効期限、氏名、住所、セキュリティコードが含まれています。行員が仮に1万件にアクセスすれば、1万ドルがその懐に入ります。CVV2に生年月日、母親の旧姓、社会保障番号、出生地を足せば、個人のプロフィールとしては十分です。このようなプロフィールには、1件当たり約10ドルの値打ちがあります。脅威の予防には、潜在的なインサイダーの人格特性を知り、彼らのアクセス先を把握することが欠かせません。

 前回述べたとおり、インサイダーの脅威は「簡単で確実」です。情報をアップロードしたり、悪意のあるソフトウェアをシステムにインストールしたりする程度のわずかな手間しか必要としません。また、不注意から実行されてしまうケースもあります。ちょっとしたツイートや投稿で内部情報が漏れ、株価や会社の業績を左右する可能性もあります。その一方、ほとんどのインサイダーの脅威は実行に数分しか要しないにもかかわらず、終息には1日〜数カ月を要する場合がほとんどです。

 発見した時点で大切なのは、「このインサイダーはほかに何を行ったのか」、「どのくらいの間続いていたか」、「誰が巻き込まれたか」という3つの質問をすることです。インサイダーは通常、長期間にわたって犯行を重ねています。

 インサイダーの脅威によるリスクを緩和するための予防要素を以下に述べてみましょう。

  • 重大な資産のある場所を特定する(サーバ、財務、権限、バックアップなど)
  • ファイアウォールなどのアクセス制御を行う
  • IPS、DLPといったインシデント検出を増やす
  • 相関検出やパターン発見といったマシンベースの分析結果を結集させる
  • 人と技術を組み合わせてインサイダーの脅威を検出し、複雑性を軽減する
  • 事後に監査を行い、違反発生時期を調べる
  • 従来の分析結果と脅威情報を組み合わせてインサイダー脅威を俯瞰(ふかん)する

 インサイダーによる攻撃は、必ずしも1人の責任ではありません。例えば、攻撃に関与したマルウェアは、犯人が捕まるよりずっと以前にだれかが発生させていた可能性もあります。従来の分析と脅威情報を併用することで、潜在的なインサイダーが実際には外部からの攻撃の犠牲者だったことが明らかになる場合もあります。

 企業にとっての最善の防護策は、標的となる資産を認識し、ユーザーが資産にどのように接触しているかを監視し、脆弱点を把握して対策を講じることといえるでしょう。例えば、機密データを不必要に移動することを規制したり、機密性のあるテーマについてインターネット上に書き込めないようにしたりすることが重要です。また、経営幹部のリーダーシップ、人事部門など別の事業部門とのチームワークやセキュリティを日頃から培っておくことが、インサイダー脅威と闘うために必要なのです。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ