本稿では2回に分けて、最高情報セキュリティ責任者(CISO)が組織内部において警戒すべき脅威を解説します。前編となる今回は、内部脅威を警戒すべき5つの理由を説明します。
実は、内部脅威から漏えいする営業秘密は、サイバー攻撃から漏えいするケースよりも、約10倍も多いのです。情報処理推進機構(IPA)の調査によれば、営業秘密の情報漏えいルートを内部脅威のカテゴリーで再集計すると、実に87.6%が、中途退職者や現役の従業員などの内部脅威に起因しています。
ただし内部脅威といっても、そのタイプはさまざまで、不注意による操作ミスによって情報漏えいが生じるケースもあれば、悪意を持つ内部関係者が意図的に不正を行うこともあります。技術者が他社に引き抜かれて退職する際に技術情報を一緒に持っていくケースもあれば、外国企業からのSNSの接触がきっかけで研究結果を送付してしまうケースもあります。
また、上司への腹いせでデータベースを削除するような事件も発生しており、外部の攻撃者が窃取したアカウントを用いて不正行為を内部で繰り広げる脅威もあります。このように内部脅威は、タイプも多種多様であるために、残念ながら従来のサイバーセキュリティツールでは阻止することができません。正規のアカウントとして動く内部脅威を阻止することは容易ではないのです。
昨今の急速なテレワークへの移行によって、会社と在宅勤務を使い分けるハイブリッド型の働き方が当たり前の社会となり、さらに内部不正が見つけにくい労働環境が出来上っています。
内部脅威の件数は、ここ近年増加し続けており、Ponemon Instituteの調査によると、内部脅威インシデント数は2018年から2020年までの間に47%も増加しています。これらのインシデントコストは、平均して1組織当たり年間1145万ドルに達し、内部脅威の頻度とコストは、過去2年間で劇的に増加しています。また、犯罪者や悪意のある内部関係者による被害額は、1件当たり平均75万5760ドルに上ります。
内部脅威のインシデントを封じ込めるには、平均77日かかっており、30日以内に封じ込められたインシデントは、わずか13%です。30日以内に封じ込められたインシデントと90日以内に封じ込められたインシデントを比較すると、2倍以上もコストが違ってきます。いかに早くアラートを出して検知し、インシデントを封じ込めることができるかが、ダメージを小さくするために重要です。
これら情報漏えいの主たる漏えいルートでもあり、また、企業に大きなダメージをもたらす内部脅威から、いかに組織と情報を守ることができるのかが喫緊の課題です。それには、まずCISOが、悪意のある内部関係者の兆候、背景、動機を理解することが必要です。内部脅威に対応するには、セキュリティチームだけでなく、人事、法務、コンプライアンスなどの協力が不可欠であり、CISOが内部脅威の背景を理解することで、組織を横断するチームをまとめ対策を打つことが可能になります。
それでは、急増する内部脅威をCISOが警戒すべき理由をご紹介します。
