Splunk Services Japanは4月23日、「企業価値にも影響する『内部不正対策』の現状と対応策」と題したメディア向け説明会を開催した。セキュリティストラテジストの矢崎誠二氏が内部脅威について、最新の調査データやプログラム、フレームワークを交えながら解説した。
まず、内部脅威については、いくつかの団体や組織が定義を示していると説明。例えば、米国土安全保障省(DHS)では、内部関係者が意図的または無意識のうちに、許可されたアクセス権を利用して、任務、資源、職員、施設、情報機器、ネットワークシステムに損害を与える行為を指している。これには、スパイ行為、機密情報の不正開示、妨害行為なども含まれるという。
もう1つは、米国家内部脅威タスクフォース(NITTF)によるガイドで、内部関係者が意図的または無意識のうちに許可されたアクセス権を使用する行為を内部脅威と定義している。ここで重要なのは、「外部からの侵入ではなく、内部のアクセス権を持つ者による不正行為に焦点を当てている点」だと矢崎氏は指摘する。
続いて、矢崎氏はCyber Security Insidersの調査結果を引用し、過去12カ月間に組織が経験した内部脅威の件数は、2013年と比較して2024年の方が増加していることを説明。また、組織の管理者を対象とした調査では、回答者の約66%が、自らの組織は内部脅威に対して脆弱(ぜいじゃく)であると感じているという。
「日本の組織に関する具体的なデータはないが、組織に対する従業員の忠誠心や終身雇用制度の名残などから、内部脅威に対する意識は高いと考えられる。しかし、内部脅威は依然としてリスクとして考慮すべき重要な問題となっている」(矢崎氏)
Splunk Services Japanの矢崎誠二氏
さらに、悪意のある内部脅威の動機に関する調査結果も紹介された。主な動機として、金銭的な利益、個人的な利益、復讐(ふくしゅう)などが挙げられる。金銭的な利益を目的とする場合、個人情報を売却したり、会社の機密情報を競合他社に提供したりすることが考えられる。また、解雇や昇進の見込みがないなどの理由から、会社に復讐するために妨害行為や破壊行為を行うケースもあるという。
一方、内部脅威軽減プログラムの成熟度調査では、「十分に実装されている」と回答した組織は21%にとどまり、「日本においてはさらに低い可能性がある」と矢崎氏は指摘した。
矢崎氏によると、内部脅威対策は、IT部門だけでなく、人事、法務、リスク管理など関係部署が連携して推進する必要がある。具体的には、技術的な対策に加え、ポリシー策定、従業員の同意取得(プライバシーへの配慮)、トレーニングによる意識向上が不可欠となる。その上で、対策の立案・実行には、米サイバーセキュリティ・インフラセキュリティ庁(CISA)の「内部脅威軽減プログラム」やNITTFの「成熟度フレームワーク」などが有効な指針となるとした。
NITTFの成熟度フレームワークは、大きく分けて6つの要素で構成され、米国の政府機関向けに作成されたものだが、民間企業にも応用できる考え方が含まれているとのこと。CISAの内部脅威軽減プログラムは、13の項目で構成され、政府機関だけでなく、あらゆる業種の組織で利用できるものとなっている。NITTFのフレームワークとCISAのプログラムを組み合わせることで、より網羅的な対策を検討できる、と矢崎氏は述べる。
まず、経営層のリーダーシップとコミットメントが基盤となる。初期計画で対策範囲を定め、IT部門だけでなく人事・法務・財務など関連部署(利害関係者)を特定し、リスク管理プロセスやガバナンス、ポリシーを構築する必要がある。従業員の行動監視などプライバシーに関わる施策には、リーダーシップと関連部署の合意、法的な検討が特に重要になるという。
次に、従業員のトレーニングと意識向上が挙げられる。ここでは、社内報やeラーニング、ポスター掲示など多様な手段で注意喚起を行う。また、調査によれば、異常な長時間勤務や長期にわたる休暇の不取得、最近の生活変化、辞表の提出、解雇の通知、昇進や降格、懲戒処分など特定の行動やイベントはリスク指標となり得る。
「これらの特徴は、あくまでリスク指標の一つであり、必ずしも内部脅威につながるわけではない。しかし、人事部門とIT部門が連携することで、これらの兆候を早期に発見し、注意すべき従業員を特定できる可能性がある」(矢崎氏)
検知においては、ファイル共有サーバーやクラウドサービスからの極端なダウンロード/アップロード、非人称リムーバブルメディアの利用、過度のアラートや削除、特定システムへのアクセス試行、重要なキーワード検索、過度の印刷、非営業時間での就労、フリーメールの監視など、具体的な指標を設定することが推奨されている。
内部脅威の検知においては、具体的な指標に基づいたルールの適用と、行動分析による異常検知が重要となる。Splunkでは、検知指標に基づきMITRE ATT&CKなども参照した検知ルール群を「Analytic Story」として提供している。
また、同社のユーザー行動解析(UBA)機能は、従業員やシステムの平常時の行動を機械学習でモデル化し、それと比較することで異常な行動を高精度に検知する。従来のルールベース検知では、誤検知も起こり得るが、UBAは個々の行動パターンを考慮するため、そのリスクを低減できるという。
まずルールベースで明らかな脅威を検知し、その後、UBAのような機械学習ベースの手法で潜在的な脅威を補完する、段階的なアプローチが効果的だと矢崎氏は強調する。また、情報統合・分析・対応基盤の構築においては、同社が提供するセキュリティ情報イベント管理(SIEM)製品が中心的な役割を担うことになる。
さらに、検知・対応後の報告とフィードバックも重視されており、発生したインシデントに関するレポートを作成・共有し、そこから得られた教訓を基に対策を改善していくプロセスが重要になる。加えて、プログラム全体の有効性を維持・向上させるためには、定期的なアセスメントが欠かせない。脅威特定、リスク評価、対策実施、監視、見直しといったPDCAサイクルを回し、継続的に改善を図ることが求められるという。
矢崎氏は最後に、「内部脅威対策は、IT部門だけでなく、ざまざまな部門が協力して行う必要がある。IT部門だけでは視野が狭くなり、効果的な対策が難しくなる可能性もある。関係部門との連携が不足すると、対策の実施自体が困難になることあり得る。一方で、検知指標の策定や自動化、分析基盤の構築といった技術的な側面においては、IT部門の専門知識と協力が必須となるだろう」と語った。
