内部脅威とは

重要なポイント：内部脅威の概要

• 内部脅威は社内で発生し、悪意によるリスク、偶発的なリスク、過失によるリスク、サードパーティーのリスクに分類できます。
• 内部脅威の軽減に、ゼロトラスト セキュリティ アーキテクチャーは不可欠です。
• Zscalerは内部脅威を予防的に特定、排除するRisk360™、ITDR™、Deception™のような高度なソリューションを提供しています。

内部脅威の種類：悪意によるリスク、偶発的なリスク、過失によるリスク、サードパーティーのリスク

内部脅威にはさまざまな形態があり、それぞれ異なる形で組織のセキュリティ態勢に課題をもたらします。このような脅威の場合、ファイアウォールなどの従来の防御が回避されたり、VPNの実装における弱点が悪用されたりする可能性もあり、高度に接続された現在の環境では特に危険です。こうした環境では、接続や信頼されたアクセスが思わぬ形でリスクの増大を招いている場合があります。

悪意による内部脅威

悪意による内部脅威は、組織内の個人が私的な利益や腹いせを目的として、意図的にセキュリティを侵害することで発生します。典型的な例としては、不満を抱いた従業員による知的財産の持ち出し、サイバー犯罪者へのアクセス認証情報の販売などが挙げられます。悪意による内部脅威は、金銭や不満、復讐心を動機とすることが多く、検出も非常に困難です。

悪意のある内部関係者はすでに機密情報への正当なアクセス権を持っているため、適切なセキュリティ制御が実施されていない場合、このアクセスを簡単に悪用できます。こうした脅威を防ぐには、継続的な監視、厳格なアクセス管理、行動分析を実行し、損害が発生する前に異常なアクティビティーを検出する必要があります。

例：悪意のある内部関係者の例として最もよく知られた人物の一人が、米家安全保障局(NSA)の請負業者であったエドワード スノーデンです。スノーデンは、NSAとその提携組織が運営する世界的な監視プログラムに関する機密情報をリークしました。彼の行動は、金銭的な利益ではなく思想的な動機に基づくものでしたが、一人の内部関係者がもたらし得る損害の大きさを浮き彫りにしています。

偶発的な内部脅威

偶発的な内部脅威は、従業員が意図せずサイバー攻撃の糸口を作ってしまうことで発生します。よくある例としては、フィッシング、セキュリティの設定ミス、許可されていない相手への意図せぬ機密ファイル共有などが挙げられます。ヒューマン エラーは代表的な内部脅威の原因の1つです。ヒューマン エラーによる内部脅威は頻繁に発生しており、境界防御だけでは不十分なことがわかります。

内部脅威の軽減には、頻繁なセキュリティ トレーニング、従業員のサイバーセキュリティ プロトコルへの準拠、ゼロトラスト ソリューションの統合などの積極的な戦略が必要です。

例：2017年、ヒースロー空港の運営に関連する機密性の高いセキュリティ情報が入ったUSBドライブを、職員が紛失しました。このUSBドライブには、セキュリティ対策、巡回の予定、女王の移動の詳細に関する情報が含まれていました。一般人によって発見され、幸い大きな侵害は発生しませんでしたが、機密情報の置き忘れなど、内部関係者の偶発的な行為が重大なセキュリティ リスクにつながる可能性があることが、このインシデントによって浮き彫りになりました。

過失による内部脅威

過失による内部脅威は、不注意や認識不足により、セキュリティのベスト プラクティスに従わない従業員によって発生します。具体的な原因は、パスワードの共有や許可されていないデバイスの使用、基本的なセキュリティ プロトコルの無視といった単純なものです。こうした行為は、悪意はないものの、攻撃者に悪用される深刻な脆弱性を生み出します。

内部関係者の過失によるリスクを軽減するには、厳格なセキュリティ ポリシーを施行し、従業員にはそれに従う責任を負わせる必要があります。

例：2020年、Facebookの従業員が社内のポリシーに違反し、暗号化されていない給与データを私物のノートパソコンに保存しました。運悪くこのノートパソコンが盗まれ、約29,000人の従業員の機密情報が流出しました。データが悪用された形跡は見られなかったものの、機密情報の取扱いにおけるこのような過失は深刻な結果をもたらす可能性があります。

サードパーティーの内部脅威

サードパーティーの内部脅威は、組織のシステムやデータにアクセスできる請負業者やベンダー、パートナーから発生します。こうした外部の協力者は事業運営に欠かせない存在ですが、その存在によってリスクのベクトルは拡大します。攻撃者は、サードパーティーのシステムの侵害や請負業者の資格情報の窃取を通じ、多くの場合、検出されることなく機密情報にアクセスできます。

例：Home Depotのデータ侵害は、攻撃者がサードパーティー ベンダーから盗んだ資格情報を通じて同社のシステムにアクセスしたことで発生しました。この侵害により、5,600万件のクレジット カード番号が流出し、適切なアクセス制御が行われていない場合にサードパーティーがもたらすリスクが浮き彫りになりました。

こうしたリスクを管理するには、最小特権の原則をサードパーティー ユーザーまで拡張して、最小限のアクセス権のみを付与し、内部システムの使用を継続的に監視する必要があります。厳格なアクセス制御とサードパーティー パートナーの定期的なセキュリティ評価を採用することで、この脅威を大幅に低減できます。

内部脅威の兆候や指標

内部脅威を検出するには、複数のセキュリティ レイヤーでの警戒が必要です。重要な兆候を検出し、リスクを軽減するには、以下のような取り組みが有効です。

行動指標の分析

従業員に通常とは異なるアクセス パターン(普段使用しないシステムへのログイン、大量のデータの転送、勤務時間外での活動など)が見られる場合は、内部脅威のサインである可能性があります。こうした行動は、多くの場合確立された規範から逸脱しており、より綿密な調査が必要です。

デジタル フットプリントの監視

ユーザー行動分析(UBA)やセキュリティ情報とイベント管理(SIEM)システムを通じてデジタル行動を監視することは、非常に重要です。これらのツールでは、予期しないログイン場所、権限昇格の試み、機密情報へのアクセス急増、大量のデータ転送など、ユーザー アクティビティーの異常を特定できます。こうした異常は、悪意のある行動や資格情報の侵害を示している可能性があります。

物理的なセキュリティの検証

内部脅威は、従業員や請負業者によるセキュリティ エリアへの不正侵入など、物理的な領域でも発生する可能性があります。具体的には、物理的なセキュリティ制御の回避、エリアに入ることのできる人物の尾行、盗んだ資格情報を使った制限エリアへの侵入などがあります。

ゼロトラストの活用

ゼロトラスト アプローチを統合することで、内部脅威によってもたらされるリスクを軽減できます。ゼロトラストでは、継続的な監視と検証を通じて、内部ユーザーに対してもすべての段階で必ず認証と承認を行います。アクセスを制限し、常に精査することで、ラテラル ムーブメントを制限し、内部関係者がもたらし得る損害を最小限に抑えます。セキュリティ部門は堅牢な検出メカニズムを実装することで、重要なシステムが侵害される前に脅威を特定して無力化できます。

内部脅威が組織に及ぼす影響：財務、評判、法律のリスク

内部脅威は、さまざまな形で組織に壊滅的な影響を与える可能性があり、外部からの攻撃よりも大きな損害をもたらすケースも多々あります。内部脅威が表面化した際に発生する影響として特に重要なのが以下のような点です。

財務損失

内部脅威による最も直接的で具体的な影響は、財務損失です。内部関係者が侵害されると、多くの場合、資産の直接的な窃取や知的財産の損失、データ侵害への対応費用などのために大きなコストが発生します。IBMによると、2024年のデータ侵害による平均被害額は488万ドルに上ります。内部関係者によるインシデントがもたらす被害は、その検出と修復の複雑さから、さらに大きなものになると考えられています。さらに、内部関係者による侵害でダウンタイムや業務の中断が発生すると、収益に深刻な影響を与え、損失をさらに拡大させる可能性があります。

信用の失墜

直接的な財務上の影響にとどまらず、内部脅威は組織の評判を著しく傷つける可能性があります。顧客データや組織の機密情報が流出すると、消費者からの信頼は瞬く間に失われます。その代表的な例が2013年のTargetのデータ侵害です。この侵害では、4,000万件のクレジット カード番号が流出し、同社の信頼は大きく揺らぎました。多くの場合、顧客は侵害をセキュリティ対策が不十分であるサインと見なすため、短期的な収益の減少や長期的なブランド イメージの低下にもつながります。技術的な問題が解決された後も、信頼を回復できるとは限らず、回復できるとしても数年単位の時間がかかる可能性があります。

法律およびコンプライアンス上の問題

内部脅威が発生した場合、法規制上の重大なリスクにもさらされます。GDPRやHIPAA、CCPAなどの規制は、組織が機密情報を保護する方法について厳しい要件を課しています。違反した場合、故意か過失かを問わず、罰金や制裁で多額の支払いを強いられる可能性があります。たとえば、GDPRでは、最大2,000万ユーロまたは全世界の年間売上高の4%のいずれか高い方の罰金を科せられます。罰金に加えて、影響を受けた当事者から訴訟を受けることもあるため、費用はさらに膨らみ、長期にわたって損害が発生することになります。

こうした内部脅威による影響を踏まえると、ゼロトラスト アーキテクチャーの必要性が明らかになってきます。ゼロトラストは、継続的な検証を重視し、ネットワーク内でのラテラル ムーブメントを制限するもので、内部脅威によって発生するリスクを軽減するために欠かせません。内部か外部かを問わず、あらゆるユーザーを本質的に信頼できない存在と見なすことで、より厳格な制御を施し、異常なアクティビティーを監視できます。これにより、内部関係者が広範な損害を引き起こす可能性を低減できます。

内部脅威の軽減策

内部脅威を効果的に軽減するには、テクノロジー、ポリシー、教育を組み合わせた多面的なアプローチが必要です。包括的な戦略を実施することで、内部関係者による潜在的なインシデントをプロアクティブに検出し、封じ込め、防止して、深刻化を防ぐことができます。

内部脅威プログラムの実装

内部脅威プログラム(ITP)の構築は、リスク対策の基礎となるステップです。適切に構造化されたITPにより、内部関連の脆弱性を体系的に管理できます。主な手順は以下のとおりです。

• リスク評価：内部脅威に対して最も脆弱な資産やデータ、システムを特定し、優先順位を付けます。
• ポリシーの作成：許容される行動、アクセス制御、インシデント報告の手順を明確に定めた、拘束力のあるポリシーを作成します。
• ユーザー行動の監視：ユーザー アクティビティーの継続的な監視を実装し、リスクの高い従業員や請負業者は重点的に監視します。
• インシデント対応計画：調査手順や封じ込め戦略、通信プロトコルなどを含む正式な対応計画を確立します。
• 定期的な評価：プログラムを定期的に監査および更新し、新たな脅威と進化するビジネス ニーズに適応させます。

ゼロトラスト セキュリティ アーキテクチャー

ゼロトラスト セキュリティ モデルは、厳格なアクセス制御を適用し、ユーザー アイデンティティーを継続的に検証することで、内部脅威のリスクを大幅に軽減します。ゼロトラストでは、「決して信頼せず、常に検証する」アプローチを採用することで、組織のネットワーク内でのラテラル ムーブメントを制限し、ユーザーが必要なときに必要なリソースのみにアクセスできるようにします。また、このアーキテクチャーは監視ソリューションとも統合し、ユーザーの動作をリアルタイムで可視化して、疑わしいアクティビティーが検出された場合は自動的にアクセスを取り消します。ゼロトラストを実装すると、攻撃対象領域を大幅に削減できるため、内部脅威に対する強力な軽減策になります。

トレーニングと意識向上プログラム

サイバーセキュリティと内部脅威対策の重要性に関する従業員教育は欠かせません。トレーニング プログラムを適切に実施すると、エグゼクティブからエントリー レベルのスタッフまですべての従業員が内部脅威のリスクと自身の責任を確実に理解できます。トレーニングでは、フィッシング攻撃の識別、特権資格情報の保護、疑わしいアクティビティーの報告などのベスト プラクティスをカバーします。また、意識向上キャンペーンでは、内部脅威によって発生する可能性のある損害の実例を取り上げることで、警戒の重要性に対する認識を向上させます。

監視と検出のソリューション

高度な監視ツールは、内部脅威の軽減に不可欠な要素です。特権アクセス管理(PAM)ソリューションは、高度な権限を持つユーザーの行動を制限および追跡し、悪意のある内部関係者や認識不足の内部関係者がもたらすリスクを軽減します。情報漏洩防止(DLP)システムは、不正なデータの転送や流出を監視し、機密情報が組織の外に出ないようにします。ユーザー行動分析(UBA)ソリューションは、機械学習を活用し、異常な時間のアクセスやデータのダウンロード急増など、悪意のある行動のサインとなり得る異常なパターンを検出します。これらのツールを組み合わせることで、内部関係者のアクティビティーに対する多層的な防御が可能になります。

Zscalerによる内部脅威対策

Zscalerは、最新のテクノロジー、リアルタイム分析、ゼロトラストの原則を組み合わせることで、内部脅威から組織を保護する包括的なソリューションを提供します。Zscaler Cyberthreat Protectionは、AI活用型の脅威検出やインラインTLS/SSLインスペクション、高度な脅威対策、ブラウザー分離、Cloud Sandboxなどのツールによって、内部脅威を軽減し、情報漏洩とラテラル ムーブメントを阻止します。

Zscaler Risk360™は、リスクの定量化と実用的なインサイトの提供、取締役会向けのレポートの作成、きめ細かいリスク要因に基づく修復の優先順位付けによって、組織をさらに支援します。これらのソリューションによって、内部脅威をプロアクティブに特定、評価、軽減できます。Zscaler ITDR™ (アイデンティティー脅威の検知と対応)は、内部脅威の深刻化を防ぐために、アイデンティティー システムを継続的に監視するとともに、Kerberoastingや権限昇格などの攻撃を検出し、アイデンティティーの設定ミスに対する修復ガイダンスを提供します。

さらに、Zscaler Deception™は、デコイを展開して悪意のある内部関係者の行動や脅威のラテラル ムーブメントを検出し、不正な行動を早期に発見し封じ込めます。これらのソリューションを組み合わせることで、統一されたゼロトラスト フレームワークを形成し、機密情報や重要なシステムを内部脅威から保護することが可能です。

Zscalerが提供する内部脅威対策の主な機能

• Zscaler Cyberthreat Protection: AI活用型の脅威検出やTLS/SSLインスペクション、Cloud Sandbox、ブラウザー分離などのツールを提供し、悪意のあるアクティビティーを防止および検出します。
• Zscaler Deception™:実際の資産を模したルアーとデコイを展開し、ラテラル ムーブメントと悪意のある内部関係者のアクティビティーを効果的に検出および阻止します。
• Zscaler Risk360™:包括的なリスク スコアと、具体的な問題を調査および修復するための実用的なインサイトを提供します。
• Zscaler ITDR™: DCSyncやDCShadow、権限昇格などの攻撃を検出するためにアイデンティティーを継続的に監視し、リアルタイムのアラートと設定ミスの修復を行います。
• 統一されたゼロトラスト アーキテクチャー：最小特権アクセスを確保し、攻撃対象領域と内部脅威の機会を最小限に抑えます。

Zscalerはこれらのソリューションを統合することで、プロアクティブなゼロトラスト アプローチを通じ、内部脅威に対する優れた保護を提供します。