新たに発表された調査レポートで、内部関係者が関与するサイバーセキュリティインシデントや情報漏えいの60%に、退職を予定している従業員が関わっていることが明らかになった。
米国時間5月2日に発表された「Securonix 2020 Insider Threat Report」によれば、「フライトリスク(逃亡リスク)」がある従業員(通常は退職などで離職する予定の個人)は、多くの場合、退職日の2カ月から2週間前に行動パターンが変化するという。
内部関係者によるインシデントとは、外部の攻撃者ではなく、組織内の個人によって引き起こされるインシデントのことだ。システムへのアクセス権限を持っている従業員や請負業者は、データを損傷させたり、盗んだり、売却したりすることが可能であり、セキュリティ問題を引き起こすこともできるかもしれない。例えば、機密情報を許可なくサードパーティーのサービスにアップロードしたり、移動させたりすることもあり得る。
2019年にTrend Microで発生したケースでは、元従業員が同社内の顧客サポートのデータベースに不正アクセスして情報を入手し、第三者に提供した。第三者は詐欺行為を行っていたことが確認された。
Securonixによれば、内部関係者の脅威でもっとも多いのが機密情報の流出で、多くの場合、情報は電子メールで送信される。「Box」や「Dropbox」などのクラウドストレージサービスにアップロードされる場合もある。次に多いのは特権アカウントの乱用だ。
同社は、さまざまな業界の内部関係者によるインシデントを数百件調査した結果、フライトリスクがある従業員の約80%が、退職前の2週間から2カ月の間に情報を持ち出す傾向があることが分かったと述べている。
機密情報が流出した場合にみられた最も一般的な行為として、43.75%は情報を持ち出す際に個人で使用しているメールアドレス宛に情報を転送しており、16%はクラウドを使ったコラボレーションツールを利用して情報を送り、10%がデータを集約してダウンロードしていた。データの盗難には、USBメモリーやリムーバブルストレージデバイスも使われている。
しかし、リムーバブルドライブを悪用した情報の盗難は、多くの組織がクラウドやIaaSプラットフォームに移行しており(新型コロナウイルスの感染拡大によって移行が速まった可能性もある)、USBの使用を制限したり、完全に禁止したりすることが増えてきたため、減少傾向にあるという。
データの持ち出しインシデントの数が多かったのは、製薬業界、金融業界、IT業界だった。
こうしたインシデントが起きるのは、アカウントの共有が横行していたり、機密データを特定してアクセス権を設定する作業ができていなかったり、最少権限の原則に基づくアカウントの管理をしていなかったといった問題があるためだ。特に大企業では、「事業部門によってポリシーや手続きがなかったり、違いがあったりするために、インシデントが起きたかどうかをIT部門が判断するのが難しい」のが原因で、セキュリティ管理体制の迂回が常態化していることも多い。
Securonixは、悪質な行為を行う従業員を監視し、行動に異常がないか、通常の活動の範囲を超えた量のデータ転送が行われていないかをアルゴリズムで調べることには効果があると述べている。
「最近では、情報漏えい対策(DLP)ツールや、特権アクセス管理(PAM)ソリューション、その他のポイントソリューションなどの従来の技術では、脅威になる内部関係者の行動を十分に検知することはできない」と同社は述べている。「クラウドシステムが導入されたため、脅威の構造が複雑になった。このため、特定の事態を検知するために作られたアルゴリズム用いた、高度なセキュリティアナリティクスが必要になっている」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
