インサイダーの脅威を軽減するための行動計画

 

本日は、PC、サーバーの操作画面を記録し、情報漏えいや内部不正を抑止するセキュリティ製品「Ekran」を用いた、内部不正の脅威を軽減するための行動計画についてご案内をさせて頂きます。

 この記事が内部不正の脅威軽減の一助になれば幸いです。

 

内部関係者による攻撃を人の体に例えるなら、まるで「重病になるまで気づかれない病気」のようです。内部関係者は、体内に潜む病巣のように、悪意のある行動を隠しながら組織を蝕みます。そして、問題が発見されるまでの長い間、組織に害を及ぼし続けることがあります。この被害は、データ、顧客、金銭などの損失という形で表に現れます。

そんな内部関係者の脅威に対して、予防は治療に勝ります。リスク軽減のプロセスを計画することで、インサイダー攻撃を初期段階で阻止したり、潜在的な被害を軽減したりすることができます。この記事では、インサイダーの脅威を軽減する方法、それを行う価値がある理由、このプロセスで重要なステップは何か、そしてEkranがどのようにしてリスク軽減を支援できるかについて説明します。

 

 インサイダーリスクの軽減プロセスをどのように計画するか?

インサイダーリスクの軽減とは、インサイダー関連のリスクを防止したり、リスクがもたらす損害を軽減するためのコントロールや対策を優先的に評価し、実施したりするプロセスのことです。

リスクを軽減することで、組織はリスクにつながるインサイダーの脅威を検知し、阻止することができます。起こりやすいリスクには、顧客の喪失、風評被害、サイバーセキュリティ関連の法律・規制・基準の不遵守による罰金・罰則などがあります。

 

 このようなインサイダーリスクを認識、積極的に管理することで、組織は悪意のあるインサイダーによる被害の可能性を大幅に低減することができます。
リスクの軽減のためには、計画を作成する必要があります。この計画は、独立した文書であっても、リスク管理計画の一部であっても、あるいは専用のインサイダー脅威への対応プログラムの一部であっても構いません。

 

 インサイダーリスクを効果的に軽減する計画に必要な4つの要素

インサイダーリスク軽減計画(万が一、実際に内部関係者による攻撃が発生した場合に、影響を軽減するための選択肢や行動をマップ化した文書)に、以下4つの要素を記載します。

この計画に含めるべき重要な事項は以下の通りです。

 

リスク軽減プロセスのステップ

インサイダーリスクの評価、リスクの優先順位付け、リスクを軽減するためのコントロールの実施などが含まれます。これらのステップについては、本記事の後半で説明します。

 

ハイレベルな軽減策

インサイダー脅威を緩和する具体的な方策です。リスク軽減策には、受容、回避、移転、制御、監視の5つの重要な戦略があります。リスク軽減計画を策定する際には、組織が直面している各リスクについて、そのリスクの確率と重大性に基づいて、これらの戦略のいずれかを選択します。
 

リスクを軽減させるためのコントロール

新しい活動の策定や、サイバーセキュリティポリシーやソフトウェア、既存の手順の変更といったリスク軽減のためのコントロールを実施します。インサイダーリスク軽減計画においては、制御を行うことで生まれるであろう効果の予測について、コントロールの実施者と監督者に十分な説明をする必要があります。

   

緩和活動の頻度

今後発生する可能性がある新たな脅威やリスクに対して、計画を適切に維持する必要があります。そのために、計画の実行時期や、実施する頻度を決定する必要があります。どのタイミングでどの戦略を見直すか等の見直し時期も、必ず併せて明記してください。

「リスク軽減プロセス」がこの計画の特に重要な側面となります。下に詳しく記載をさせて頂きます。

 

 

インサイダーリスクを軽減するための4つの主なステップ

リスクの軽減施策を計画する前に、組織がインサイダー脅威に対して行っているリスクアセスメントを確認してください。このアセスメントの結果は、以下を特定する際に役立ちます。

  • 組織に発生しうるリスクと、問題が発生した際に与える影響、およびその可能性
  • 組織内でインサイダー脅威となり得る環境
  • 悪意のある存在に悪用される可能性がある脆弱性
  • 悪意のある内部関係者によって危険にさらされる可能性がある機密リソース

 

想定されるインサイダー脅威とリスクを発見し、評価した後は、リスク軽減計画の策定を開始します。

 

 

リスクの評価結果は、リスク軽減のための取り組みを決める上で大切な基礎になります。

まず初めに実施すべき事は内部関係者の持つリスク評価であり、実際に発生した際に与えられる影響に基づいて、インサイダーリスクの深刻度を評価します。

インサイダーリスクを評価する方法はさまざまです。最も一般的な方法は、確率と影響のマトリクスを作成することです。このマトリクスでは、横軸は「リスクが組織に与える影響の見積もり」を、些細なものから極端なものまで示しています。縦軸は、「リスクが実現する確率」を、稀なものから非常に高いものまで表しています。

 

リスク評価の結果が得られれば、次の軽減ステップである内部者のリスクの優先順位付けに進むことができます。リスクに優先順位をつけることで、以下のことが可能になります。
 

  • 最初に対処するリスクを決定する
  • 各リスクに対する緩和策の選択
  • 各リスクに対して、最も効果的なリスク軽減策を選択する

 

インサイダーリスクの優先順位をつける際、発生確率や与える影響の深刻度だけでなく、組織内で内部関係者が起こした事件の履歴、業界の特殊性などを分析して手動で行うパターンと、リスクの優先順位付けを代行するソリューションを利用するパターンがあります。

最後のステップは、インサイダーリスクを軽減するためのルールを策定し、実施することです。これらのコントロールには以下のようなものがあります。

  • 新たな脅威を軽減するための技術、ポリシー、およびツールを取得する。
  • 従業員向けのインサイダー脅威認識トレーニング
  • データ保護方法の改善

 

組織内のインサイダーリスクを軽減するコントロールを開始した後も、リスク軽減計画は本当の意味では終わりません。一定の期間が経過したら、リスク軽減計画とコントロールを見直す必要があります。組織の成長や変化に伴い、新たなインサイダーリスクや脅威が出現します。そのため、定期的にリスク軽減戦略を最新の環境に適応させる必要があります。

次のセクションでは、最も一般的なセキュリティ対策と、緩和プロセスの一部となるソリューションをご紹介します。

 

インサイダーリスクの軽減に役立つ取り組みとは?

インサイダーリスクを軽減するために使用すべき取り組みやツールは、選択する軽減策によって大きく異なります。しかし、ほとんどの緩和シナリオに対応できる、共通のセキュリティ対策とソリューションがあります。これらの対策と、Ekran
Systemでどのように実装できるかを見てみましょう。

 

1.サイバーセキュリティを重視する企業文化の構築

インサイダー脅威の主な原因は、従業員や契約者の過失です。Ponemon Instituteの「2020 Cost of Insider Threats Report」(PDF)によると、2019年のインサイダー攻撃のうち、原因の63%は従業員と契約者の過失でした。

従業員や契約者がミスを犯す原因には「注意力の欠如」、「サイバーセキュリティポリシーの知識不足」、「セキュリティルールを破ってでも時間を節約したいという思い」等があります。これらは、サイバーセキュリティを重視する企業文化を作ることで、こうしたリスクを減らすことができます。

ここでは、そのような企業文化の構築に向けた重要なステップをご紹介します。

 

  • セキュリティの脅威について、従業員へ教育を行う
  • 外部からの攻撃や内部からの攻撃によって発生する問題を従業員に示す
  • サイバーセキュリティのルールを無視した場合に組織に与える影響を、従業員に明確に理解させる。

 

インサイダーリスクに対する意識が高い従業員は、新しいセキュリティツールや取り組みを受け入れやすくなります。更に、セキュリティシステムの改善にも貢献してくれます。結果的に、従業員がサイバーセキュリティの盾の一つとなり、組織のインサイダーリスクを減らすことができます。

 

2. インサイダーの脅威を検知するために人事部を活用する

悪意のある行動には、行動的な指標と技術的な指標があります。インフラ内での疑わしい行動は、サイバーセキュリティツールで検知・監視することができます。しかし、デジタル環境以外での危険な行動を発見するためには、人事部門の協力が必要です。例えば、ハラスメントの事例、企業ポリシーや企業文化への定期的な違反、従業員が関与していないプロジェクトへの異常な関心などが挙げられます。

悪意のあるインサイダー行為を検知し、防止するために、人事部門が対応できる施策は以下の通りです。

  •     新入社員を採用する際に、広範なバックグラウンド・スクリーニングを実施する。
  •     ハラスメントや危険な行動があった場合、セキュリティ担当者に報告する。
  •     従業員とコミュニケーションをとり、危険な行動の理由を明らかにし、それを改めるよう支援する
  •     セキュリティ担当者がユーザーのアクセス権を変更できるように、昇進や解雇などの従業員のステータス変更を通知する

3.センシティブなリソースへのアクセスを制限する

ユーザーのアクセス権限を管理することは、インサイダーリスクを軽減するための基本の一つです。行為者の持つアクセス権が多いほど、悪事を働いたときの被害が大きくなります。そのため、ユーザーの機密リソースへのアクセスをできるだけ制限しておきたいものです。しかし、従業員は業務上必要なすべてのリソースにアクセスできなければなりません。

この課題を解決するには、きめ細かなロールベースアクセス制御システム(以下、RBAC)を構築する必要があります。RBACは、ユーザーのアクセス権を組織内での役割に応じて決定します。そのため、従業員は仕事に必要なリソースのみにアクセスできるようになります。このようにして、従業員のワークフローを中断することなく、可能な攻撃対象を制限することができます。

Ekranは、ロールベースのアクセスを簡単に設定・管理することができます。

  •     ユーザーおよびロールごとにアクセス権を詳細に設定・変更する
  •     機密性の高いリソースへのアクセスを手動で承認または拒否する
  •     重要な資産への時間ベースのアクセスを提供
  •     ユーザー認証情報の安全な管理

 

4.ユーザーアクティビティの監視

インサイダーリスクの発生源となる、ユーザーを監視するためには、ユーザーアクティビティ・モニタリング(UAM)が必要です。今日の監視ツールでは、ユーザーセッションをオンラインで監視して不審な活動を評価したり、後から記録を確認してセキュリティインシデントを分析したり、それによって引き起こされた被害を特定したりすることができます。

EkranのUAMは、操作画像だけでなく、キーストローク、開いたファイルやフォルダ、URL、接続されたUSBデバイス、実行されたコマンドなど、ユーザーの活動に関する多くのメタデータを記録します。継続的なアクティビティの監視と記録は、迅速かつ効率的なインシデント対応を実現するための第一歩です。また、記録を残すことで過去のセキュリティインシデントを分析することができ、緩和活動の改善に役立てることができます。

 

5. サイバーセキュリティ・インシデント対応の迅速化

サイバーセキュリティのインシデントには、可能な限り迅速に対応することが不可欠です。対応に時間がかかるほど、悪意のある行為者は組織により多くのダメージを与えることができるからです。悪意のあるインサイダーはサイバーセキュリティシステムを熟知しており、痕跡を隠すことができるため、迅速な対応は非常に困難です。前述のPonemon
Instituteのレポートにおいて、インサイダー攻撃を検知して修復するまでの平均時間が77日とされているのはこのためです。
脅威に迅速に対応するためには、潜在的なセキュリティインシデントに常に注意を払う必要があります。Ekranでユーザーの行動を監視すると、Ekranが不審な行動やサイバーセキュリティのルール違反を検出するたびにアラートを受け取ることができます。

アラートを受信すると、関連するユーザーセッションをオンラインで確認し、必要に応じてユーザーをブロックすることができ、インサイダー攻撃の拡大を防ぐことができます。また、検出されたインシデントに自動的に対応するようにEkran
Systemを設定することもできます。

6. 人工知能(AI)を活用したインサイダー脅威の検知

インサイダー活動の初期指標を検出することで、悪意のあるまたは過失のある行為者が組織に損害を与え始める前に、リスクを軽減することができます。

ユーザーとエンティティの行動分析(UEBA)ソリューションは、異常な行動や有害な可能性のある行動を検出するために特別に設計されています。このソリューションは、AIと機械学習アルゴリズムの力を活用して、以下のことを行います。
 

  • ユーザー行動監視データの分析
  • 正常なユーザー行動のベースラインの作成
  • 行動の異常を検知し、セキュリティ担当者に警告する

UEBAソリューションは、他のサイバーセキュリティツールでは報告されない不審な行動を検出する際に役立ちます。例えば、EkranのUEBAは、従業員の勤務時間を分析し、従業員がいつもと違う時間帯に勤務を開始した場合、内部脅威の可能性があるとして、セキュリティ担当者に警告を発します。

 

結論

サイバーセキュリティにおけるインサイダー脅威の軽減は、組織がインサイダー関連のセキュリティインシデントを防止したり、インシデントがもたらすダメージを軽減したりするために必要不可欠な活動の1つです。

この記事では、インサイダーリスクの軽減プロセスを計画する方法と、一般的なセキュリティ対策をご紹介しました。それらのほとんどを、たった1つのソフトウェア、Ekranで導入することが可能です。Ekranのインサイダーリスク管理プラットフォームは、インサイダーの脅威を早期に検知し、抑止し、破壊することができます。

Ekran どのようにしてインサイダーリスクを軽減できるか、ぜひ、無料トライアルでお試しください。

いかがでしたでしょうか。今回は、インサイダー脅威を軽減するための行動計画をご紹介しました。

それでは、次回の記事をお楽しみに!
Ekranにご興味を持っていただけましたら、以下のリンクからお問い合わせください。

 

 

 

 参考URL:Ekran blog Mitigating Insider Threats: Plan Your Actions in Advance

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP