IT 管理者は、かなり以前から、社内ユーザーがセキュリティへの脅威になり得ることを認識しています。シャドー IT の使用、サイバー犯罪者からのソーシャルエンジニアリング攻撃の受けやすさ、社員に与えられた役割とアクセス許可を利用してデータセキュリティの防御策をすり抜ける侵害など、悪意の有無にかかわらず、様々なレベルで脅威が発生し得ます。
セキュリティ用語として「内部脅威」が使われますが、これは外部からのリモート攻撃よりもはるかに防御するのが困難です。NSA に起こった事件がいい例です。世界的な監視プログラムを支援するために雇用された請負業者が、後に有名な新聞を通じてその詳細を一般に公開しています。
実際、NATO は、Snowden 氏などの内部告発者が起こした騒動を深刻に受け止め、この問題を分析して、2018年に Insider Threat Detection Study を作成しました。この59ページに及ぶ調査報告書は、国家のサイバー防衛の観点から問題を指摘しており、興味深い内容です。ただ、これは自企業の内部脅威への解決を模索する人たちには、隔靴掻痒の感があるかもしれませんので、企業の内部脅威にフォーカスを当てた調査も紹介します。
1つは、Egress Software Technologies の Insider Data Breach Survey 2019 で、面倒なフォーム記入をしなくても読めます。これは独立調査会社が、4,000人を超える米国と英国のIT リーダーと社員を対象に調査したレポートです。IT リーダーの95%が内部脅威を懸念事項だと考えています。社員側は、60%がデータの独占的所有権を組織が持っているとは考えておらず、32%が会社の情報を新しい就職先に持ち込むことに躊躇を感じません。また、自分が作業しているデータは自分に所有権があると信じる社員は29%も存在します。対策の糸口になりそうな、社員側の言い分の統計もあります。
別の調査、BetterCloud の State of Insider Threats in the Digital Workplace 2019 も、類似した傾向を示しています。これは、500人の IT 管理者と、2,000人以上の BetterCloud の顧客に対して統計調査を行ったものです。91%が内部脅威に対して脆弱であると感じています。最大の懸念事項は機密ビジネス情報(40%)であり、その後に顧客データの侵害(30%)と従業員データの侵害(13%)が続きます。調査対象者の17%は、知的財産が侵害されることを心配しています。
これらの調査報告からも、セキュリティ対策としては、外部のリモート攻撃に対する保護だけを考えればいいわけではなく、内部脅威に対する手立ても考えなければならないのは明らかです。社内ユーザーであるからという理由ですでにネットワーク上にいる内部者が、データを窃盗できる可能性があるので、それを保護する必要があります。
社員によるデータ窃盗から組織を保護するにはどうすればいいでしょうか?信頼、個人のプライバシー、社員の人間関係、人事部の社員規約などを見直す必要があるでしょうか?私の意見では、信頼というものは限度があり、信頼だけに任せきりにすることはできません。本当に信頼できる人も非常に少ないもので、人は信頼できないものという前提で検討するのが適切でしょう。
データ窃盗者の分析
データ窃盗者は次のようなカテゴリに分類できると思います。
1. 見識不足
セキュリティに対する見識が十分でなく、セキュリティ意識が低い人たちはどこにでもいます。テクノロジー全体にうといので、IT からのサポート時間の大半がとられてしまうこともあります。悪意はないものの、すべてのリンクを躊躇なくクリックして、簡単にフィッシング攻撃の被害者になります。また、適切でない人に添付ファイルを送信して、無意識に利益率などをクライアントに開示してしまうこともあります。パブリックサービスやチャットやソーシャルメディアで会社のドキュメントを共有することさえ平気で行ってしまいます。
2. 起業家
自分の会社を創業しようと計画している社員、または、別会社に転職することを考えている社員は、多くの場合、会社を辞めるまでの間に企業データを収集しておこうとします。もし、IT がアクセス許可をすべて取り消すことができなかった場合は、退社時点でアクティブだった資格情報を使用してデータを収集し続けるかもしれません。顧客リスト、文書テンプレート、マニュアル、ポリシー、手順書など、取得可能ということは何かに違反しているわけではないとの論理で、何でも利用しようとするでしょう。
3. サイバー犯罪者
動機付けは金銭的な利益であり、他の場所で販売するためにデータを収集します。
4. 凶悪な破壊者
復讐や悪意によって動機付けられたユーザーは、会社の業務を妨害するために重要なデータを削除しようとします。もし IT 管理者であれば、深刻な損失を引き起こすことができるデータへのアクセス権があるので、強力な破壊者になり得ます。
5. 義憤者
知覚された間違いを、正義のために正そうと、雇用ポリシー、健康と安全関連の文書などの会社のデータを利用しようとします。
6. 著作物作成者
業務の中で著作物を作成した場合、自分が行った貢献に対して何らかの権利があると考えがちです。残念ながら、著作権法は、業務で得られた成果物には個人の権利を認定していません。
信頼できるのは誰か
信頼できる人は存在しないと考えるべきです。IT も、一人の人間がすべてコントロールするようにはすべきではありません。その人が必要なすべての管理者パスワードを提供しないまま辞めてしまったらどうなりますか?実際の話、IT 管理者がほかの職種の人たちより信頼できるという証拠はありません。IT は、転職しながらキャリアアップしていく人が多いですが、意図的なインサイダー違反が判明すれば、将来の転職受け入れ先がなくなるという歯止めがある程度です。
IT 管理者の仕事は、パズルを解くようなものかもしれません。尋常でないアクティビティがあれば追跡し、躍起になってセキュリティホールを塞がなければなりません。データ漏洩はやすやすと起こってしまいます。あまり口うるさくすると業務に支障が出る、などと訴える人もいるかもしれません。データ窃盗のリスクを低減する唯一の方法は、IT を含むすべてのユーザーのアクティビティを監視することです。
脅威と可能な対策
デジタル・ベースの環境にはデータを共有する様々な方法があることを考えてみてください。デバイス間でデータを転送するのにも多くの方法があり、スマートフォンで写真を撮って送ることもあれば、複数のクラウドサービスやストレージに送信することもできます。メール、チャット、VoIP、でやり取りもできます。後でデータを取得するために、自分のサイトに FTP 接続したり、無料のブログサービスにアップロードしたりすることもできます。オプションは事実上無限であり、内部脅威からのデータ保護は極めて困難です。現在行われているセキュリティ保護策は、多くの場合、内部ユーザーのアクティビティにはあまり目を向けることはなく、外部からの脅威に焦点を当てています。この問題点は、最近注目され始めています。
内部脅威のリスクを低減して組織を保護するためには、次のすべての対策を検討してください。
1. 文書化
企業は雇用プロセスの一環として、データガバナンスポリシーを定義し、就業規則に要件を含める必要があります。自社が遵守すべきデータ保護法に則り、データ保護の原則、何が許可され何が許可されないのかの正確な説明などを記述します。
2. 内部告発者
不審なユーザーアクティビティに気付いた社員が匿名で報告できるシステムを準備します。
3. ローカルダウンロードの禁止
外部デバイスへのデータ転送に使用できるシステムスロット(USB、SDなど)をブロックします。
4. 画面記録ソフトウェア
画面記録ソフトウェアを使用してユーザーのアクティビティをキャプチャできます。ユーザーに知らせなくても実行可能な場合が多いですが、プライバシー規制でユーザーに開示する必要がある地域もあります。開示する場合は、そのこと自体が抑止力として機能するはずです。
5. BYOD
個人所有デバイスの持ち込みを許す BYOD は、企業所有デバイスのコストをはるかに上回る不必要なリスクをもたらします。BYOD には支持者もいますが、データ保護の観点からは企業所有のデバイスが支持されるでしょう。会社の電話なら、営業時間後にはオフにすることもできます…
6. クラウドとソーシャルメディア
許可されていないサイトへの転送を防ぐために、許可されたサイトのホワイトリストを作成することを検討してください。
7. デスクトップ
データのローカルシステムストレージを防ぐために、シンクライアントまたは仮想デスクトップの使用を検討してください。そのようなシステムは、どの端末からでもデータにアクセスでき、新規雇用社員のネットワーク展開もシンプルになります。
8. 電子メール
すべての無料メールサービスをブロックします。
9. 個人デバイス
前述の BYOD に加えて、職場ではすべての個人デバイスの使用を禁止することを考えるべきです。これには、メモリスティックをはじめとするすべての形式の外部ストレージ、カメラ、ディクテーションデバイスが含まれます。文書の写真は、たとえば OCR テクノロジーを使用して簡単に再構築できます。
厳しい現実
企業を内部脅威から保護することは困難な作業ですが、継続的な適応リスクと信頼評価(Continuous Adaptive Risk and Trust Assessment、CARTA)やユーザーおよびエンティティの行動分析(User and Entity Behavior Analytics、UEBA)といった様々な手法を活用して、ソフトウェアで作業の大部分を実行できます。または、従業員監視ソフトウェアを選択することもできます。
多くは、使える予算と、どの程度までユーザーの行動を制御したいかに依存します。すべての社員を盲目的に信頼すべきでないことは確かですが、過度の監視は社員から恨みを買い、生産性に影響を与える可能性があります。オーウェルの「1984年」を持ち出すのは極端だとしても。
要は、適切なバランスを見つけることです。内部脅威の可能性は常に存在し、会社を保護することが最善なのは明確です。どうバランスをとって、チェックするのかは、個々の企業で判断しなければなりません。データセキュリティがどうあるべきか、どのようにデータが保護されるべきかを前もって慎重に検討してください。すべての社員に同じ条件が適用できるようにし、管理管理でがんじがらめにして不満を抱かせてしまわないようにすることも大切でしょう。