"The call is coming from inside the house...” (電話は家の中からかかってきている...)1979年の “When a Stranger Calls”(邦題:『夕暮れにベルが鳴る』)で使われたこの表現は、恐怖をもたらすものが、私たちが最も安心できると思っているところから生じているかもしれないという観念を植え付け、観客を震撼させました。 この観念は、企業活動にもぴったりあてはまります。セキュリティ部門は、マルウェア、フィッシング詐欺、ランサムウェア攻撃など、外部からの脅威に対して警戒していますが、脅威は社内からも起こり得ます。
インサイダーによるセキュリティ上の脅威は、一般に想定されているよりはるかに頻繁に生じています。サイバー攻撃の60%が特権アクセスを持つ個人によって実行されていると推定されています。外部からの攻撃はインサイダー脅威に源を発する場合も多くあります。従業員の過失や、悪意から行われた行為が、チェックされないままになっていると、組織をセキュリティリスクにさらしてしまう可能性があります。従業員は、実に様々な理由から悪意を抱く可能性があり、それは同僚や雇用主に対する大きな打撃になり得ます。悪意を抱くに至る経緯は予測できず、インサイダー脅威の問題は非常に複雑であり、またプライバシー保護の上でも取り扱いが難しい問題です。単純な答えはなく、適切な解決方法を探るためには、膨大な数の要因を考慮する必要があります。以下では、悪意がある、あるいは単にうっかり者のインサイダーの行動が、セキュリティ危機を引き起こさないようにするためのベストプラクティスはどうあるべきかについて考察します。
アクティビティの監視
会社の従業員を「脅威ログ」に含めるというのは、あまり気分のいいことではありません。従業員も、会社に監視されているとわかれば面白くないでしょう。電子メールのやりとり、検索履歴、デバイス・ログなどをトラッキングすることは、こそこそしていやな気分、と思われるか、最悪の場合は会社と従業員との間で培われるべき信頼関係が蝕まれてしまいます。それでも、組織をインサイダー脅威から安全に保つためには、奇妙な動きや普段と異なる動作などを検知できるよう、ユーザーのアクティビティ監視は必要になります。
それは必ずしも従業員の受信ボックスの周辺を詮索することを意味しません。そうではなく、ネットワークとパフォーマンスの監視ツールを使用して、ベースラインとなる正常な動作とリソース使用量を把握しておき、監視データが正常値を逸脱したときに通知を受け取るように設定することができます。
IT部門がするべきこと
IT部門のセキュリティ担当者は、通常とは異なるダウンロードやファイル転送のアクティビティについて注意を払う必要があります(詳細は後で説明します)。 これは、機密性の高い企業情報にアクセスできるユーザーに関しては特に重要です。ユーザーのアクティビティやリソースの使用状況が突出的に増大した場合も、悪意のあるアクティビティが発生している可能性があります。ユーザーのアクティビティの顕著な激増に説明できる真っ当な理由がある場合もありますが、説明可能な理由がなければ、危惧すべき何かが起きているという指標になります。納期間際にはプロジェクトを完了するために自宅から働かなければならないこともあり、集中的なGPUまたはCPU使用を必要とする作業があるかもしれないので、アクティビティの増大が即座に疑わしい行為に直結するわけではありません。ですが、疑わしい動きがあった上で突如としてアクティビティやリソース使用量が激増すれば、懸念すべき事態と考えるべきでしょう。
たとえば、ソーシャルメディアを担当し、イベントのスケジューリングなどの業務を行うマーケティング部門のメンバーが、突然GPUを100%、しかも毎日24時間、使用し始めたら、疑念を抱くべき指標になります。マシンが侵入されているかもしれません。前述のように、ネットワーク監視ツールを使用してリソース使用量のベースラインを設定することで、通常でない使用を監視したり、設定済みのしきい値を超えたときに自動警告を受けられるようにすることもできます。
堅実なアクティビティ監視アプローチは、内部のセキュリティ違反を検出し、悪影響を阻止するために、できる限り迅速な対応をすることです。疑わしいアクティビティを検知したら、IP接続を終了し、アカウントをシャットダウンして、ファイル転送も終わらせるようにするべきでしょう。NetFlow を監視することも、異常なアクティビティの検知に有用です。アクティビティ監視のその他の重要なプラクティスには、従業員がインサイダー攻撃を行った場合にイベントを注意深く記録し、文書化することが含まれます。証拠がなければ、法廷で訴追することはできません。
従業員が現在会社に所属していなくても、その資格情報は会社にとって重大な脅威になる可能性があります。セキュリティ管理者は、古いアカウントをフリーズし、古い資格情報を削除して、これらを利用したアクティビティが成功しないようにする必要があります。解雇されたり退職を余儀なくされたりした元従業員が逆恨みをして、資格情報を使用して会社のシステムを攻撃することは起こり得ます。また、元従業員が複数の場所で自分のパスワードを再利用したような場合など、資格情報が悪意を持つハッカーの手に渡ってしまう可能性もあります。
しっかり管理されたセキュアなデータ転送
ベースラインを設定して使用量を監視することは、悪意あるインサイダーやマシンへの侵入を発見するのに役立ちますが、よくあるインサイダー脅威は実際には単純な怠慢と過失によるものです。
今は、多くの業務活動が社内ファイアウォールの範囲を超えて行われており、大量の機密データを社内ファイアウォール外の第三者に転送する必要が生ずることがあります。このデータをどのように安全に転送するべきかの指示が社内に行き届いていない場合、社員は自分にとってやりやすい手段を選びがちです。つまり、セキュリティ保護されていない電子メールや、承認されていないファイル共有アプリケーション(よくあるものとしては、Dropbox や Google Drive など)を使用することがよくあります。
セキュアで信頼性の高いマネージド・ファイル・トランスファー(MFT)ソリューションを使用すると、機密データが許可された受信者にのみ配信されるようになり、IT部門ですべてのファイル転送アクティビティを監視し把握することができます。外部とのデータ共有のためにMFTソリューションを選択する際には、必要に応じて、アカウントへのアクセス、レポートと警告、アンチウイルス・システムとの統合、その他のセキュリティメカニズムなどの追加機能を検討する必要があります。
イプスイッチのセキュアなマネージド・ファイル・トランスファー・ソリューション
上述のように、インサイダー脅威は、セキュリティ上非常に深刻な問題です。IT部門は、インサイダー脅威のリスクを十分に理解して、リスクを最小限に抑えるソリューションを用意することが求められます。イプスイッチのセキュアなマネージド・ファイル・トランスファー・ソリューションは、危険な転送方法に対する使いやすい代替手段をユーザーに提供し、安全かつコンプライアントな機密データの転送を実現します。 セキュアなフォルダ共有は、コンシューマーグレードのファイル共有サービスに代わる、安全で使いやすい手段です。 MOVEit Client は、Mac と Windows のデスクトップからの安全な転送へのアクセスを提供します。MOVEit Ad-Hoc Transfer を使用すると、Web ブラウザや Microsoft Outlook から、サイズの制限なく、暗号化されたファイルを、安全に速やかに、他の人に送信することができます。