はじめに
悪意のあるインサイダー(組織内部の人間)は、依然として企業のサイバーセキュリティに対する重要な脅威の1つです。そこで、最新のサイバーセキュリティに関するレポートにおいて、インサイダーがもたらす脅威の割合や攻撃ベクトルを分析することで、最新の業界動向を概説し、この脅威に効率的に対処する方法を判断することができます。
この記事では、業界の専門家が作成した最新のインサイダー脅威の統計から、インサイダー脅威関連のリスクについて理解を深め、それに応じてサイバーセキュリティ対策を調整するためのポイントをまとめます。
インサイダー脅威の統計に関する調査
内部脅威や攻撃に関する統計をまとめたレポート、研究、調査は何十種類と存在します。この記事では、インサイダー脅威、その背後にある技術や手法、その対処にかかるコストに関する重要な情報を提供する、最も信頼性の高いレポートを選択しました。
2021年以降に発生したインサイダー脅威に関する6つの事件
どんな企業にも悪意のあるインサイダーが存在する可能性は存在しています。
Cybersecurity Insidersによる2021年内部脅威レポートでは、98%の組織がインサイダー攻撃に対して脆弱性を感じていると述べています。この調査を裏付けるように、2021年には多くののインサイダー攻撃が見られました。
最近のインサイダー脅威の事例をいくつか探ってみましょう。
アメリカ テクノロジー企業U社のデータ盗難
2021年1月、U社の元クラウドリードが、GitHubサーバーとAmazon Web Servicesの認証情報を悪用して同社の機密データを盗み出しました。実行したN氏は在宅勤務の際、盗んだファイルの一部を公開し、同社に200万ドルの身代金を要求しました。司法省によると、ネガティブな報道がなされた後、同社の時価総額は40億ドル減少し、株価は20%下落しました。
アメリカ エンタープライズセキュリティ企業 P社への妨害工作
2021年4月27日、P社の営業幹部がUSBドライブを使用して同社の機密取引情報を盗み出しました。実行したS氏はこの情報を同年5月に就職したP社の競合会社であるA社に転送しました。このデータには、P社がA社に対抗するための戦略、ターゲットとなるエンドユーザーアカウントの集計、定期的なビジネスレビュー、チャネルパートナーに対する戦略提案などが含まれていました。
サウジアラビア 国有石油会社S社への恐喝
S社は2012年にすでにウイルスによる攻撃を経験していましたが、今回は内部脅威に晒されました。2021年5月、S社は、委託先の企業が原因で1テラバイトのデータ漏えいが発生。企業のデータがダークウェブ上に表示されるようになってしまい、そのページから文書を削除する代わりに5000万ドルの暗号通貨を要求されました。流出したデータには、石油精製所の場所に関する情報、顧客や従業員の機密データ、給与ファイルなどが含まれていました。
アメリカ 大手製薬会社P社のデータ流出
2021年10月、P社員のC氏は、P社の会社のノートパソコンから個人のGoogle Driveアカウントに12,000の機密ファイルをアップロードしました。これは、事件の直前に導入された監視ソフトウェアによって検出されました。機密ファイルには、医薬品開発データ、COVID-19ワクチンとその研究に関連する企業秘密が含まれていました。ロイター通信によると、P社は事件前、競合のX社からC氏にポジションのオファーがあったと述べています。
英国議会のデータ流出
2021年10月8日、英国議会の経費監視委員会が、D議員のスタッフ2人の氏名、電話番号、住所を誤って流出させました。独立議会基準機構が公表した2台のノートパソコン用スタンドの領収書に個人情報が記載されていたためです。未修正のままの名前が掲載されたこの出版物は、情報公開請求に応えたもので、3日間オンラインで閲覧することができました。
米国に対するスパイ行為
2021年12月15日、連邦国防省の請負業者として働いていたエンジニアが、米国政府から機密情報を盗もうとした容疑で逮捕されました。J氏は、8カ月間にわたり、ロシアのスパイと思われるFBIの潜入捜査官に300通以上のメールを送信しました。特に、J氏は米国の国防に関する情報を共有していました。
これらは、役員、一般従業員、第三者ベンダーが引き起こした2021年のインサイダー攻撃のいくつかの例に過ぎません。次に、組織内で誰がインサイダー脅威行為者になりうるかについて、もう少し詳しく分析してみましょう。
インサイダー脅威の主体となる役職 上位4種
悪意のあるインサイダーが所属しているポジションの上位4種は、毎年変わりません。2020 Cybersecurity Insider Threat Report [PDF](英語のページ)で最も危険とされる4種類のユーザーを紹介します。
特権ユーザーと管理者
これらのユーザーは、組織のインフラや機密データへのアクセス権を全て握っているため、特に注意が必要です。特権ユーザーは高いレベルのアクセス権を持つため、彼らによるインサイダー攻撃を発見することは困難です。特権ユーザーは、サイバーセキュリティのルールを破ることなく、機密性の高いリソースにアクセスする方法を知っているからです。
一般従業員
一般従業員は、特権ユーザーに比べて限られたアクセス権しか持ちませんが、それでも組織に害を及ぼす可能性があります。例えば、アクセス権の範囲内で閲覧、操作できるデータの悪用、未承認アプリケーションのインストール、機密メールの宛先間違い、フィッシング攻撃の被害などに遭う可能性があります。
サードパーティおよび派遣社員
ベンダー、ビジネスパートナー、派遣社員は、組織で導入されたサイバーセキュリティの規則や慣行を守らなかったり、知らず知らずのうちに違反していたりする可能性があります。また、セキュリティレベルの低いサードパーティベンダーを経由して、ハッカーが組織の境界線内に侵入するリスクも常に存在します。
特権的なビジネスユーザーおよび幹部
Cレベルのエグゼクティブ(経営幹部職)は、組織の最も機密性の高い情報にアクセスすることができます。この種のユーザーは、インサイダー取引、個人的な利益、企業や政府のスパイ活動のために、己のアクセス権や知識・経験を悪用する可能性があります。
興味深いことに、Verizon社の2021年データ漏えい調査報告書(DBIR)(英語のぺージ)では、データ漏えいの原因について、上位に「特権の乱用(悪用)」が挙げられています。次のセクションでは、このような攻撃ベクトルについて詳しく見ていきましょう。
2021年における一般的なインサイダー攻撃のベクトル
今回紹介した内部関係者は、オンライン、オフラインに関係なく、また、意図的である場合も、無意識である場合も、情報漏えいを行うことができる状況にあります。内部関係者が機密データを攻撃してしまう一般的な方法は、次の3つです。
特権が不正利用されるリスクについては前述した通りです。特権の不正利用とは、特権アクセスや特権を持ったアカウントを不適切な方法で使用することでした。Verizon社の2021 Data Breach Investigations Report(英語のページ)によると、2020年の特権不正使用事例の内、80%は金銭的な動機によるものであると言われています。リモートワーカーの増加は、この数値にあまり影響していないそうです。
特権の乱用は、特権の不正利用の中でも詐欺的、または悪意のあるタイプに分類されます。欧州ネットワーク・情報セキュリティ機関(ENISA) Threat Landscape 2021レポート(英語のページ)によると、ビジネス環境に籍を置く回答者のうち、34%がインサイダー権限の乱用に悩まされているそうです。特権アクセス権は、物理的な内部脅威の要因1位にランクされています。
データの誤操作は、特権の不正利用の中で2番目に多い原因です。Verizon社 DBIRレポート(英語のページ)によると、発生するインシデントの最大30%と言われています。これは、内部関係者による機密データの扱いがおざなりになり、置き忘れたり紛失したりしたためです。ただし、特権の不正利用とは対照的に、このようなインシデントには通常、悪意はありません。
クラウド攻撃とは、クラウド環境(IaaS、SaaS、PaaS)へのアクセスを獲得した、または恒久的にアクセスできるインサイダーによって行われる攻撃のことです。Cybersecurity Insidersによる「2021 Insider Threat Report」(英語のページ)によると、サイバーセキュリティ専門家の53%が、クラウドへの移行以降、インサイダー攻撃の検知が難しくなったと考えているとのことです。
Verizon社 2021 Data Breach Report(英語のページ)によると、様々なミスは内部の関係者(99%)とパートナー(1%)が犯しており、通常は意図せずに犯すとされています。このようなエラーを犯すトップインサイダーグループは、特権ユーザー(システム管理者と開発者)およびその他のエンドユーザーです。彼らが起こした上位のエラーは以下の通りです。
2021年中、47%の組織がリモートワークへのシフトにより、従業員やベンダー、コンサルタントが自らの持つデバイスを使用する機会が大幅に増加したと回答しています。Cybersecurity InsidersとBitglassによる「2021 BYOD セキュリティ・レポート」(英語のページ)によると、22%の組織が、企業リソースにアクセスできるアカウントを持つ従業員が、企業に管理されていないデバイスでマルウェアをダウンロードしてしまった問題を経験しており、更に組織の約半数はそのような問題があったかどうか分からないと回答しています。
インサイダー脅威がより頻繁に発生するように
インサイダー関連のリスクに対する意識が高まり、侵害行為をより的確に予測するツールが常に進化を遂げているにもかかわらず、Cybersecurity Insidersが調査した回答者の57%は、2021年にインサイダー攻撃がより頻繁に発生するようになったと回答しています。
さらに、本レポートの調査を受けた組織の63%が、インサイダー脅威の監視、検知、対応に効果的なパフォーマンスができないと回答しています。
Enterprise Strategy Group(ESG)のアナリストであるJack Poller氏は、2022年には内部犯行による金銭的損害が国家による攻撃の損害を上回り、内部犯行の脅威が頻発する傾向が継続すると予測しています。
前述の Ponemon Institute の調査によると、脅威の着実な増加は、次の 3 つの主要な理由で起こっています。
- 従業員または請負業者の過失 – ヒューマンエラーは、最も広く見られるタイプのセキュリティ事故であり、ヒューマンエラーが原因で発生した事故の結果を軽減するためのコストは、一般的に最も低く抑えられます。ヒューマン・エラーの例としては、機密データを誤った相手に送信したり、環境を誤って設定したり、安全でない作業方法を用いたりすることが挙げられます。従業員や請負業者の過失によるインシデントの検出と是正には、平均31万ドル(約4000万円)の費用がかかります。
- 犯罪者や悪意のある内部関係者 – 悪意のある内部関係者は、組織が使用しているサイバーセキュリティ対策と組織が保護している機密データについてを全て知っているため、組織にはるかに大きな損害を与えます。この知識を利用して、データを盗んだり、漏えいさせたり、生産を妨害したり、ハッカーに企業のリソースへのアクセスを提供したりすることがあります。悪意のあるインサイダー活動の影響を軽減するためのコストは、平均76万ドル(約9700万円)です。
- クレデンシャル(認証情報)盗難 – ハッカーにとって、信頼できる従業員のクレデンシャルを盗むことは、保護された組織のネットワークに入るための最良の方法の1つです。正規のクレデンシャルを使用することで、ハッカーは長い時間、システム内部で検知されずに活動することができます。ハッカーは、ユーザーのログイン名とパスワードを取得するために、ソーシャルエンジニアリング(従業員を装って電話でパスワードを聞くなど、重要な情報を、情報通信技術を使わずに盗み出す方法)、ブルートフォース(総当たり攻撃)、クレデンシャルスタッフィング(流出したユーザーアカウントで様々なサービスへアクセスを試みること)、その他の種類の攻撃を使用します。クレデンシャル盗難を伴うインシデントは、平均87万ドル(約1億1000万円)と、対処に最もコストがかかります。
2021年版DBIR(データ漏えい調査レポート)(英語のページ/閲覧には情報入力が必要)によると、金融・保険業界では内部関係者のインシデントが外部関係者が引き起こすインシデントの数に追いつき始めています。内部関係者が起こした事件の大半は偶発的なもので、具体的には間違った受信者にメールを送ってしまったというものです。では、内部脅威によるデータ侵害の頻度の高まりが、対応と修復に必要なコストと時間にどのような影響を及ぼすかを見てみましょう。
インサイダー脅威のコストは上昇し続ける
インサイダー脅威の総コストには、3つの要素があります。
- 直接コスト – 情報漏えいの検知、緩和、調査、修復に必要なコスト
- 間接コスト – インシデントの対応に費やされたリソースと従業員の時間の価値
- 機会損失コスト – 攻撃によって失われた潜在的な利益
そして、これらのコストは年々上昇を続けています。
Cybersecurity Insidersによる「2021年内部脅威レポート」の調査を受けた組織の82%は、インサイダー攻撃が引き起こした実際の損害を判断することすらできませんでした。
それでは、組織が直面する内部脅威の被害の割合を見てみましょう。
Ponemon Institute研究所は、内部脅威のコストについて、2018年[PDF]と2020年[PDF]の2回の調査を実施しました。その報告によると、内部脅威の被害に対応する平均コスト総額は、2017年から2019年にかけて31%増加しました。
北米の企業は、インサイダー攻撃とその影響に最も苦しんでおり、この地域の平均コストは1110 万ドル(約14億円)から1330万ドル(約17億円)へと増加しました。
また、1件のインサイダー脅威のインシデント(監視、調査、エスカレーション、インシデント対応、封じ込め、事後分析、修復を含む)に対する平均総支出は、51万3000ドルから75万6760ドルへと上昇しました。
このようなインサイダー脅威によってもたらされる壊滅的な結果を防ぐためには、内部脅威をタイムリーに検知する必要がありますが、それは見た目ほど簡単なことではありません。
インサイダー攻撃の検知には時間と堅牢な技術が必要
インサイダー攻撃は、検知できない期間が長ければ長いほど、問題への調査が困難になります。
内部関係者が引き起こしたインサイダー攻撃を検出することは特に困難です。なぜなら、内部関係者は、機密データがどこに保存され、どのサイバーセキュリティ・ソリューションが導入されているかを正確に把握しているからです。このため、インサイダー攻撃の中で、一部の侵害に関しては、数カ月から数年間も発見されないことがあります。2021年版DBIR(英語のページ)によると、インサイダーが行うアクセス権限を悪用したシステム侵入は、発見までに最も時間がかかるとされています。
インサイダーのサイバー攻撃を数分以内に検知できるとしている組織はわずか18%で、数分以内に復旧できるとしている組織はわずか12%です。さらに18%の組織は、インサイダーの脅威をまったく検知できないと回答しています。
また、回答者の90%は、内部からの攻撃を検知・防止することは、外部からのサイバー攻撃と同じくらい、あるいはそれ以上に困難であることを確認しています。さらに、Ponemon Institute研究所の調査では、回答者の約半数が、悪意のあるインサイダーによる差し迫った攻撃を検知・防止することは、各段階において非常に困難であると回答しています。
また、回答者の半数にとって、インサイダー脅威のリスクを軽減する上での主な課題は、リモートワークへの移行であることが判明しました。
また、インサイダー脅威の監視については、回答者の60%が有効であるとは考えていませんでした。悪意ある、あるいは危険な行動を明らかにし、それを阻止し、従業員を始めとする内部脅威リスクに対処するために、どのような戦略をとることができるかを確認しましょう。
インサイダーの脅威から身を守るための最適な戦略とは?
セキュリティチームの中には、サイバーリスクに関する従業員教育やアクセス権限の手動管理などにより、社内関係者から発生する脅威に対処しようとするところもあります。しかし、リモートワーク、デジタル化を始めとするサイバーリスクが高まる傾向が強まっている今日の世界では、これまで以上に高度な技術ソリューションが求められています。
Cybersecurity Insidersによる「2021年の内部脅威レポート」(英語のページ)によると、サイバーセキュリティ専門家のうち、41%がインサイダー脅威プログラムの構築を計画しており、さらに40%がすでに構築しているとのことです。
企業がインサイダー脅威を検知・防止するために使用するツールは、統一された可視性(すべてのアクティビティが1カ所から確認できること)に基づいており、同調査に参加した組織の大多数が重要だと考えています。
とはいえ、現在、記録したデータの行き先を制御するために単一の製品を導入しているか、複数の統合ツールを機能させている企業は42%に過ぎません。残りの58%は、可視性の統一が図れない別々のツールを使用しているか、まったくツールを使用しないことで、内部脅威を特定する機会を減らしています。
市場には多くのサイバーセキュリティ・ツールがあるため、特定の防衛ラインに焦点を当てて最小限の労力で結果を得るソフトウェアを選択することは困難です。考えられる対処方法は、ツールの導入や監視の実施に対するコスト削減の統計を分析することです。
オールインワンのインサイダーリスク管理プラットフォームであるEkranで、これらのツールや手法をどのように導入できるかを見てみましょう。
ユーザー行動分析(UBA)ツールは、従業員の行動の基準値を確立し、異常な行動を検出し、誰かが予期せぬ行動を取った場合にセキュリティ担当者に通知します。UBAツールはセキュリティ担当者が脅威の初期指標を検知して行動するのを支援します。例えば、Ekranのユーザー行動分析ツールを使用すると、セキュリティ担当者は、従業員が通常とは異なる時間帯にシステムにログインしているかどうかを知ることができます。
特権アクセス管理(PAM)機能は、特権ユーザーに機密リソースへのきめ細かいアクセスを提供することで、インサイダー攻撃を防止するのに役立ちます。Ekranは手動によるアクセス承認手続きやパスワード管理などの機能を含む堅牢なPAMツールセットを提供しています。
さらに、重要なデータへのアクセスを特定のユーザーに必要な時間だけ、必要なリソースだけ提供するジャストインタイム(JIT)PAMの手法が求められるケースもあります。
ユーザーのトレーニングと意識向上は、従業員の脅威に対する意識を高めるための純粋な管理活動です。効率的なユーザートレーニングは、過失によるインシデントを減らし、脅威を認識し報告するのに十分な知識をユーザーに提供します。Ekranの運用は企業のセキュリティポリシーに違反する行為をユーザーに画面表示で通知するため、セキュリティトレーニングの一環となりえます。
脅威情報の共有とは、検知されたリスクや攻撃に関する情報を組織間で交換する、業界共通の慣習です。これにより、企業に想定される脅威に備えることができ、調査において互いに助け合うことができます。セキュリティデータを共有する場合、共有に夢中になって機密データやサイバーセキュリティの詳細を公開しないことが重要です。脅威に関するデータを収集するには、Ekranのレポートツールを使用できます。セキュリティインシデントに関するデータの収集と分析に役立ちます。
ベンダーのサイバーセキュリティ能力を評価するためには、事前に厳格な第三者審査手続が必要です。ベンダーの従業員が機密データにどのようにアクセスして使用するかを確認し、その責任と習慣について話し合う必要があります。組織のインフラにアクセスできるサードパーティに関しては、契約を交わした後でも目を光らせておくことが重要です。Ekranでは、サードパーティが保守に使用する踏み台サーバーの操作記録を画像とテキストで残すことで、保守作業等の行動を簡単かつ効率的に監視することができます。
インシデント発生時に通知を行う機能は、組織が内部脅威に対して直ちに反応し、大きな損害につながる前に対応することが出来ます。Ekranは、セキュリティ担当者を支援するために、ユーザーの活動監視中に検出された疑わしいアクションに対して警告画面を表示します。セキュリティ担当者は、疑わしいセッションをリアルタイムで確認し、必要に応じてそのセッションやユーザーをブロックすることができます。また、自動的にブロックするように設定することも可能です。
Ekranの従業員モニタリングと監視機能は、組織内におけるあらゆるユーザーの行動を画像とテキストで記録します。これらのログはサイバーセキュリティや従業員の生産性に関する問題を検出するのに役立ち、特に遠隔地の従業員と協働する場合に重要です。Ekranは、ユーザーの画面からのアクティビティと以下のようなメタデータを記録することにより、継続的な監視を保証します。
- キーストローク
- 開いたファイル、フォルダー、URL
- 接続されたUSBデバイス
- 実行されたコマンド
セキュリティ担当者は、Ekranを使ってリアルタイムでセッションを確認したり、特定のインシデントに関する記録を検索したりすることができます。
これらのサイバーセキュリティ・ツールと実践により、データを脅かすインサイダーと戦い、それを検知し、迅速かつ効率的に脅威に対応することができます。
まとめ
2022年の予測では、国家レベルでの攻撃に対する被害よりもインサイダー攻撃による被害が上回るとされています。最新のインサイダー脅威の統計は、今日、最大の課題を示しています。
- 内部からの攻撃を検知・防止するための頻度、コスト、時間は増加の一途をたどっている。
- セキュリティチームは、COVID-19によるBYODアプローチへのシフトの増加に伴い、新たな課題に直面している。それは管理がし辛い(低い視認性)端末とマルウェアの脅威にある
- インサイダー脅威を引き起こす要因は相変わらずで、故意または無意識のうちに企業のセキュリティに影響を及ぼしている。
- インサイダー脅威の新たな課題には、より洗練された新しい技術的ソリューションを適用する必要がある。
インサイダー脅威の抑止施策は、組織のサイバーセキュリティシステムにおける主要な要素の 1 つである必要があります。もう 1 つの重要な優先事項は、組織における現在のインサイダー脅威を一元的に可視化、または制御することに重点を置くことです。
Ekranのような包括的なインサイダーリスク管理プラットフォームを導入することで、データ保護を大幅に強化し、社内および遠隔地の従業員に目を光らせることができます。
以上で、今回の記事を終わります。
この記事は、Ekran社の以下のブログを意訳したものです。 https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures
※ドルの円換算レートは、2022年5月初旬のものを利用しております。
