インサイダー脅威とは

インサイダー脅威とは、偶然か意図的かにかかわらずデータが漏洩あるいは不適切な使い方をされることを言い、それによりデータが悪用されたり正当なアクセス権を持たない人物に閲覧されたりする可能性が生じます。 

インサイダー脅威は、組織において最も一般的なセキュリティ脅威の 1 つであり、ほとんどの場合、普通の人がよくあるミスを犯すことによって生じます。

読む時間がない場合は、こちらのインサイダー脅威に関する短い動画をご覧ください。

さほど大きくない場合もあれば、極めて大きい場合もあります。答えがこのように漠然としたものになってしまう背景には、一つの企業秘密がもたらし得る損害の規模や、多くの小さなミスが誰にも気づかれることなく繰り返されることが大きく関係しています。

インサイダー脅威によって引き起こされる被害には、企業全体の機能が停止させられる、人々の情報が暴かれる、顧客やビジネスパートナーの安全が脅かされる、お金がかかる、または国家の安全保障や不可欠なインフラが危険にさらされる、などがあります。検索エンジンで「インサイダー脅威」と検索すれば、多くの米国連邦機関がインサイダー脅威のリスクを話題にしていることがわかります。

• サイバーセキュリティインフラセキュリティ庁 (CISA)
• 国土安全保障省 (DHS)
• 国立科学技術研究所 (NIST) のコンピュータセキュリティリソースセンター (CSRC)
• 連邦捜査局 (FBI)

あらゆるものはオープンな環境で繁栄するという考えを持つ有数のエンタープライズ・オープンソース企業である当社でさえ、インサイダー脅威に対しては恐怖を抱いています。Red Hat® Enterprise Linux® のオープンソース開発モデルは CentOS Stream オープンソース・コミュニティを通じて公開されますが、それは複数のレビュー、テスト、および品質管理プロセスを経た後にのみ行われます。

その理由は、一般的な理解に反して、ほとんどのインサイダー脅威は悪意を持った元従業員によるものではないからです。ほとんどの場合、普通の従業員が犯したミスから起こります。そしてミスは誰もが犯します。

自分が脅威の当事者になるとは思っている人はいないでしょう。自分自身が内部関係者だと思うことさえないかもしれません。しかし、知的財産、ソフトウェア・エンジニアリングのプロセス、組織のネットワーク資格情報、企業の業績情報など、自分が日々の業務で正当にアクセスできるあらゆる重要な情報のことを考えてみてください。

ですから、企業倫理研修の最後に聞かれる質問に注意を払うことは重要です。以下のような質問はさらっと流さずによく考えるべきです。真剣に考えてください。今後、インサイダー脅威を見つけ出すのに役立つはずです。

• 潜在的なインサイダー脅威の兆候にはどのようなものがありますか？
• 報告するべきインサイダー脅威を示す可能性があるシナリオにはどのようなものがありますか？
• 潜在的なインサイダー脅威の兆候をいくつ見つけることができますか？

一般に、インサイダー脅威を引き起こす人は次の 3 つに分類されます。

• 悪意のある内部関係者：データやサービスを盗んだり、それらに損害を与えたりすることで、積極的に危害を加えようとする人や利益を得ようとする人
• 内部告発者：会社が何か間違ったことをしていると強く信じている人
• ユーザーエラー：単にミスを犯す人

そして、フィッシングがあります。フィッシングは、攻撃者が誰かをだまし、なりすましメールや詐欺の申し出などの不正なリクエストによって機密情報や個人データを提供させようとするソーシャルエンジニアリングの一種です。内部関係者がフィッシング攻撃を扇動する場合、それはインサイダー脅威です。扇動者が外部にいる (たとえばマルウェアが実行されている) 場合は、別の種類のセキュリティ脅威と見なされます。

セキュリティはすべての人の責務です。セキュリティチームがセキュリティポリシーを維持し、誰もがセキュリティプロトコルをより意識するように促すことは有効です。しかし、セキュリティ担当者だけですべての側面を制御できると考えるのは無謀です。

社内にセキュリティ制御、コンピュータ緊急対応チーム (CERT)、インサイダー脅威プログラムなどがあるかどうかに関係なく、保護システムは常に存在します。サイバーセキュリティと反トラストに関する責任を負っているすべての地方機関、州機関、連邦機関、国際機関のことを考えてみてください。

インサイダー脅威から保護するためには、データ損失を防止するためのアクセス許可とファイアウォールを適切に維持するべきであることは明白ですが、効果的なセキュリティチームは次の 4 つの特質も備えています。

• 教育：セキュリティチームは、人々に正しいやり方を教えるか、普通の従業員にどれだけの力があるかを強調するだけで、外部の脅威や内部関係者による攻撃の可能性を減らすことができます。注意喚起の報告が多く上げられてもそれは脅威ではないことを内部の人に理解してもらうことで、セキュリティチームは彼らを裁いたり糾弾したりする部署ではなくパートナーとして共に活動する存在なのだというコミュニティの意識を構築できます。
• セキュリティ保護をデフォルトにする：これはセキュリティを確保する最も簡単な方法です。基本的にすべてのアクセスを遮断し、許可する場合は例外扱いとします。最も簡単なルートが安全なルートであれば、デフォルトで正しいことが実行されやすくなります。セキュリティ保護をデフォルトにする場合は、ロールベースのアクセス制御 (RBAC) や、最小アクセスの原則に従ってユーザーが必要とするものだけを提供するといった方法があります。
• 良好なコミュニケーション：誰にとっても話しやすい人になれるようにしましょう。そうすれば、人々は事実、そして (理想的には) 予防につながる真実を話してくれるでしょう。セキュリティを念頭に置いて仕事が行われていることを確認できるよう、一緒に作業するパートナーとしての地位を確立しましょう。
• 謙虚さ：人には間違いが付き物であることを忘れないようにしましょう。あなたは裁判官でも陪審員でもなく、消防署のようなものです。起こった問題は修正しますが、ミスをしたこと自体は責めないようにします。ミスを罰することが当たり前になると、恐怖や消極性の文化が生まれます。そうすると、人々は問題があることを知っていてもギリギリまで見て見ぬふりをするようになります。

Red Hat はエンタープライズ対応ソフトウェアを作成するにあたりアップストリームのオープンソース・コミュニティからスタートし、それらのソフトウェアの強化、テスト、安全な配信を実現します。その結果、ハイブリッドクラウド、サプライチェーン、アプリケーション、およびユーザー全体のセキュリティを構築、管理、自動化するために使用できるエンタープライズ・オープンソース製品がもたらされます。