FineArt News

コラム

内部リスクと内部脅威

内部リスクと内部脅威は、どちらも内部ユーザーという同じ由来ですが、両者の違いは意図と影響にあります。内部リスクには意図的でない行動と意図的な行動の両方が含まれますが、内部脅威は意図的な破壊行為に焦点を当てています。もうひとつの重要な違いは、組織がそれぞれのリスクにどう対応するかです。内部リスクには、人的ミスが真の脅威に発展するのを防ぐため、積極的な監視や教育訓練および緩和策が必要となります。

一方で、内部脅威は検知と調査が必要で、通常は法務や人事部門の関与を含む包括的なインシデント対応ワークフローを必要とします。最終的に、内部リスクはより広範ではありますがニュースの見出しを飾る可能性は低く、内部脅威はより稀でありながら壊滅的な損害をもたらす可能性があります。この差異を明確にすることで、セキュリティチームは作業の優先順位を決定し、両カテゴリー間で効果的にリソースを配分することができます。

内部脅威の発生源は内部関係者だけではない

内部脅威とは、信頼・アクセス権限・知識・影響力のいずれかを有するあらゆる人物が該当します。一般的に思い浮かぶのは、恨みを抱く不満のある元従業員や昇進で疎外された悪意のある同僚といった人物像です。しかし実際には、高額な損失をもたらすミスを犯した従業員や請負業者が原因となるケースが少なくありません。

残念ながら、内部サプライチェーンの脅威は往々にしてより深刻です。この種の管理特性は、サードパーティの活動や共有システムまたはサードパーティシステムに関わるものであり、彼らとはデータシステムおよび監視体制やセキュリティプロトコルも異なるためです。
これらのサプライヤーと契約を結んでいても、手を抜いたりセキュリティを怠ったりする可能性があり、企業は手遅れになるまで全く気付かない場合があります。

従来のセキュリティツールの限界

通常の内部脅威はそれ自体が十分に深刻な問題です。一般的な従来のセキュリティツールは外部からの侵入攻撃に対応するよう設計されており、内部脅威を検知できません。これらのツールは攻撃がどこで発生し損害をもたらすかを把握できますが、管理者は彼らを疑うこともありません。
ネットワーク攻撃とは異なり、内部脅威は目立ちません。正当なアクセス権限を持つため、従来の監視ツールやセキュリティ対策ではその活動を検知できません。さらに管理者も同僚のことを直接知っているため、指標が疑わしいことを示していても通常は即座に疑わしいとは見なさないでしょう。監視は内部脅威の軽減に不可欠です。結局のところ、セキュリティチームは目に見えない問題は解決できません。

潜在的脅威の指標を識別

組織の環境内で内部脅威が発生した場合、悪意のある脅威であれ過失による脅威であれ、発生を認識したら迅速に緩和する必要があります。
物理的行動や理的活動および財務といったITシステムでは可視化できない指標以外にも、内部脅威の具体的なITシステムの具体的な指標には以下のようなデータダウンロードを含む異常なデータ移動・アプリケーション間またはフォルダ間のファイル移動・異常なデータ送信などがあります。

  • 信頼できないソフトウェアやハードウェアの使用(新規アプリケーションのダウンロード、安全でないソフトウェアの使用を含む)
  • 異常な時間帯、新規または不自然な地理的位置からのファイルやアプリケーションへのアクセス
  • ユーザーの職務役割と一致しない権限昇格やファイル・アプリケーションへのアクセス要求
  • ユーザーが自身のコア業務機能以外のデータにアクセスする
  • ユーザーが組織を離脱または退職した後もデータやアプリケーションにアクセスまたはアクセスを試みる

これらの指標は内部脅威を検知したいセキュリティチームにとって有用ですが、単一の指標だけでは重大なセキュリティ脅威の有力な指標とはなりません。これらの行動ベースの指標は、他のアクティビティ監視ログと組み合わせるか、さらに関連する分析調査を実施して、発生している状況をより深く理解し、その後脅威に対処することが重要です。

リアルタイム監視と完全な行動ログがなければ、組織は第三者の不正利用を検知するのが困難であり、手遅れになるまで気づくことができません。
従来の制御は受動的であり、情報漏洩や破壊が発生してから初めて問題を特定します。業務活動を遅滞させることなくシステムとデータを保護することが課題です。

サードパーティアクセス管理の課題

組織は管理の必要性を認識しているにもかかわらず、大多数の組織は依然として実行面で困難に直面しています。主な課題には以下が含まれます。

  • 過剰なアクセス権限:ベンダーには通常、業務上必要な範囲を超えて過剰な権限が付与されることがある
  • リアルタイム可視性の欠如:大半の組織はサードパーティの接続活動を監視やコンテキストの追跡ができない
  • 合成情報の信頼性:生成AIコンテンツやオープンソースモデルは信頼性があるように見えるが、隠れたリスクを内包している
  • シャドーITとAI:従業員が承認なくAIツールやLLMを悪用し、監視なしに不正なモデルやサードパーティコードを導入する可能性がある
  • 検知の遅延:異常行動が認識される頃には既に損害が発生していることが多い。これらの遅延により内部脅威の検知が困難になり、特に組織外部からの脅威に対してはその差はさらに拡大する

サプライチェーン内部脅威の課題は、外部関係者に内部アクセス権限が付与される点にあることです。こうした「準内部」ロールは従来の監視対象外となることが多く、リスクが過小評価されがちです。最小限の権限付与とゼロトラストアーキテクチャは、悪用される可能性を大幅に低減します。たとえサプライヤーのアカウントが侵害されても、攻撃者は横方向への移動を大きく拡大できません。

内部およびサードパーティからの潜在的な脅威を低減するため、組織はリアルタイム監視と行動分析(UAM、UBAなど)に加え、サードパーティアクセス管理を強化し、過剰な権限付与や可視性の欠如によるリスクを回避する必要があります。これにより、偶発的なミスによる影響を軽減できるだけでなく、悪意のある行為者によるアクセス権限の悪用を防止できます。

  1. リモートセキュリティ強化:DLPで内部情報漏洩を積極的に検出
  2. AI時代のデータリスク、管理戦略を標準化して再構築
  3. 産業情報セキュリティ監査の重点、顧客の実例共有
  4. 企業の情報セキュリティ:内部リスクとデータ保護に関する主な戦略
  5. TotalSecurityFortによる生成AIサイト利用の制御
  6. スマートマニュファクチャリングにおけるセキュリティの懸念
  7. ファイル追跡に役立つTotalSecurityFort
  8. DLPのコンテンツ分析には改善の余地あり
  9. 複数のエンドポイント保護システムをインストールすると保護は強化できるか?
  10. 生成AIのリスクとデータ保護の課題