FineArt News

コラム

内部リスクの現状と課題

デジタルトランスフォーメーションの時代では、組織は外部からのサイバー攻撃に注目しがちで、内部関係者による脅威を見過ごすことが多い傾向があります。しかし調査の結果、内部脅威の割合が増加し続けていることが判明し、私たちは内部リスク管理を再検討することになりました。

Ponemon Instituteの《Cost Of Insider Risks Global Report 2023》によると、過去5年間に年間21~47件の内部脅威が発生した組織の割合は、2018年の53%から2023年では71%に増加しています。つまり、約70%の企業が内部スタッフによる情報セキュリティ問題を経験しています。

内部リスクの原因は主に3つのグループに分類できます。

  • 55% はメール誤送信やファイル共有の間違いなどスタッフの不注意
  • 25% は個人的な利益のために意図的に情報を盗むなど
  • 20% は証明書の盗難による内部脅威(Credential Theft)、ハッカーはフィッシング攻撃やキーロガーまたはその他の手法を使って内部関係者からアカウント認証情報を盗み出して不正アクセスを行う

また、IBMの《Cost of a Data B reach Report 2024レポートによると、インサイダーの侵害を組織が特定して封じ込めるまでに平均292日かかり、インサイダー攻撃の平均コストは1件あたり499万ドルという驚異的なもので、あらゆる情報セキュリティインシデントの中で最もコストがかかります。

システムに侵入するために脆弱性のスキャン・権限昇格・流出のプロセスを経る必要がある外部のハッカーに比べて、内部関係者はアクセス権を持っていることが多く、どのデータが最も価値があるかを知っているため、内部脅威の影響はより直接的で、取り返しのつかない損害につながる可能性があります。さらに、規制が強化され続ける中、内部リスクの管理に失敗した企業は高額な罰金や風評被害に直面します。

主な規制と基準

台湾の「個人情報保護法」に基づいて、企業が個人情報漏洩事故を防ぐための規制を遵守しなかった場合の罰金は最高1500万台湾ドルで、1件ごとに課される可能性があります。個人情報漏洩を経験した組織にとっては、情報保護はもはやオプションではなく、必要かつ価値ある投資です。

例えば「小売業における個人情報管理法」では、資本金1,000万台湾ドル以上で会員を募集している事業者に対して、データへのアクセス制御・暗号化・バックアップ・送信の保護措置を講じるとともに、個人情報の安全維持のための包括的な計画を策定するよう求めており、約6,800の企業に影響を与えます。

ISO/IEC 27001:2022の最新版では技術的なセキュリティ管理がさらに強調され、情報漏洩防止(DLP)ユーザー行動監視ウェブフィルタリングなどの技術を導入して、社内のデータアクセス管理を強化し、国際標準に沿った情報セキュリティ保護の仕組みを確保することが推奨されています。これは、現代の情報セキュリティの脅威に対処するには、従来の手作業による管理方法ではもはや不十分であり、企業は自動化技術を導入してリアルタイムの監視と迅速な対応を実現する必要があることを示しています。

内部リスク保護戦略

内部脅威のリスクを効果的に低減するために、企業は管理プロセス技術的な保護対策を組み合わせて、包括的な情報セキュリティ保護の仕組みを確立する必要があります。以下では主要なデータ保護技術をいくつか紹介します。

  1. ネットワークアクセス保護

マイクロセグメンテーションにより、サーバーファーム内の重要なサーバーは、まずファイアウォールにより隔離・保護され、次に端末に配備されたX-FORTエージェントによりユーザーIDとアプリケーションの特性を利用して、アクセス可能なサーバーの範囲を正確に制御・決定し、より詳細なサーバーのアクセス権管理を実現します。

  1. データベース保護

読み取り専用モード:機密性の高いデータは「読み取り専用」操作のみが許可され、不正なデータ漏洩を防ぐため、コピー・カット&ペースト・印刷は禁止されます。

ウォーターマーク追跡:ウォーターマークと特殊コードが画面に表示され、写真やスクリーンショットを撮影してデータが流出した場合はコードから流出元を追跡できるため、不正行為を効果的に抑止できます。

  1. ファイル保護
    • 自動暗号化:社内のPCは定期的にスキャンを行い、重要なファイルを暗号化します。会社のPCでしか開くことができず、たとえ流出しても開くことができません。
    • 即時暗号化:メール・ウェブサイト・FTP経由でダウンロードされたすべてのファイルは、社内のPCにダウンロードされた時点で自動的に暗号化されるため、データは即時で保護されます。
    • 権限管理:部門データは部門の管理者および関連スタッフのみがアクセスでき、他部門にファイルが誤送信されても読み取ることはできない。
      ランサムウェア攻撃の可能性を減らします。
  1. ランサムウェア攻撃の可能性を減らす
    • アプリケーションホワイトリスト:認証されたアプリケーションのみ実行を許可し、許可されていないアプリケーションをブロックしてマルウェアのリスクを低減します。
    • 定期バックアップとフォルダ保護:定期的なバックアップとFACフォルダ保護により、セキュリティインシデント(ランサムウェア攻撃など)発生時の重要データの復旧性を向上させ、業務の中断を軽減します。

結論

内部リスク管理は単にコンプライアンスを目的としたコストのかかるものではなく、オペレーショナルリスクを軽減し、企業の評判を守り、市場競争力を高めるための包括的な投資です。企業は、情報セキュリティと事業継続性を確保するために、技術的保護(DLP・EDR・暗号化)や権限管理(アクセス制御・読み取り専用モード)、およびセキュリティトレーニングを行い、内部リスク防止戦略を確立すべきです。

  1. TotalSecurityFortによる生成AIサイト利用の制御
  2. スマートマニュファクチャリングにおけるセキュリティの懸念
  3. ファイル追跡に役立つTotalSecurityFort
  4. DLPのコンテンツ分析には改善の余地あり
  5. 複数のエンドポイント保護システムをインストールすると保護は強化できるか?
  6. 生成AIのリスクとデータ保護の課題
  7. ISO 27001 実務説明
  8. Web Bluetooth 制御
  9. AIを活用して収集した情報を分析
  10. 漏洩根絶:CMMCにおける情報漏洩防止対策