内部からのセキュリティ侵害を防止する方法のうち小規模な企業環境において有効なものは、企業規模が大きくなるとその有効性が減少するのが一般的である。企業の成長に合わせて侵害防止戦略を拡張していく方法を以下に紹介したい。
多くの企業は、セキュリティ戦略において自社のネットワークが外部から侵入されないことを企図している。しかし、実際には内部から重大なセキュリティ侵害が発生することも多い。こういった侵害は、意図的な場合もあればそうでない場合もあるが、いずれの場合も企業のネットワークやデータを危険にさらし、生産性の低下および/または直接的な金銭的損失につながるおそれがある。
企業規模の拡大にしたがって変化するニーズに対応できるセキュリティ戦略を持っておくことが重要となる。このことは内部からの侵害に目を向けると特に意味を持つ。小規模な企業環境においては有効な打ち手であったことの効果が、企業の成長につれて薄れていくからだ。内部からのセキュリティ侵害を防止するための、拡張性のある戦略の作り方について以下に述べたい。
進化する脅威
小規模で従業員も数名程度の企業では、規模の大きな企業に比べると内部からのセキュリティ侵害が発生しにくく、その発見も容易であるということが言える場合もあればその逆の場合もある。小規模な企業環境ではマネージャーと従業員がより緊密な関係を保って働くため、内部からの侵害を試みることのできる機会は少ない。また、仕事が専門化されていない場合も多いため、従業員は、プロジェクトの「一部」のみを担当したり、細かく規定された一連のタスクを行うのではなく、互いに協力して働いたり、コンピュータを共有したりする。このことによっても侵害の機会が抑制され、その発見が容易になるわけである。
一方、小規模企業の従業員はより自律性を与えられ、マネージャーも彼らをより信頼していることが多い。こういった場合、会社のデータや帯域幅を盗用したり、個人的なウェブ閲覧や電子メール、チャットのためにネットワークを利用したりしようとする従業員は絶好の機会を得ることになる。そして、従業員によるこういった行動はすべてネットワークを危険にさらしかねないのである。また、小規模な企業は、技術的なセキュリティ対策を実施するために専門のIT部門やセキュリティ担当者を置いていないことが多く、従業員のネットワーク利用に関するポリシーを詳細に規定していないことも多い。
逆に、大規模な企業の従業員は小規模な企業に比べると匿名性を保ちやすいため、セキュリティ侵害が容易である一方、防御策(コンピュータのロックのより厳重な運用や、よりセキュアに設定されたファイアウォールなど)に阻まれることも多くなる。
内的脅威のアセスメント
内部からの脅威はいくつかのカテゴリに分類することができる。例えば:
- 産業スパイ:競合企業に雇われた従業員がデータを盗む可能性がある
- 悪意のある/不満を抱えた従業員:解雇されて日の浅い従業員が会社に対して不満を抱き、ネットワークにダメージを与えたいと思っている可能性がある
- 意図的ではない侵害:従業員が、許可を得ずにソフトウェアをインストールしたり、ウイルスに感染した電子メールの添付ファイルをオープンしたり、ソーシャルエンジニアリング攻撃にひっかかったりすることが考えられる
また、ネットワークに物理的にアクセスできる非従業員も、内部からの脅威の一形態として捉えることができる。この例として、契約業者や「臨時」従業員、ベンダーの他に、清掃および雑務作業員など、オフィス内で働いているが実際にはあなたの会社に雇用されていない人々も挙げることができる。
