内部脅威で最も多い原因は何ですか？

Ponemon Institute の調査によると、内部脅威の 56% は従業員の過失に起因します。メールの誤送信、クラウドストレージの設定ミス、フィッシングメールへの引っかかりなど、悪意のない行動が最大の原因です。悪意ある内部者は 25%、認証情報の窃取は 19% にとどまります。

UEBA の導入にはどのくらいの期間が必要ですか？

UEBA ツールの技術的な導入自体は数週間で完了しますが、有効なベースラインの構築には最低 30 日間のデータ収集が必要です。導入初期は誤検知が多発するため、3〜6 か月かけてチューニングを行い、アラートの精度を高めていくのが一般的です。

退職者のアカウント無効化で最も見落とされやすいものは何ですか？

SaaS アカウントが最も見落とされやすい領域です。Active Directory や Google Workspace は IT 部門が管理していますが、部門単位で契約した Slack、Notion、Figma、GitHub などのアカウントは IT 部門の管理外にあることが多く、退職後もアクセスが残りがちです。SCIM 対応の ID 管理基盤で一元管理するか、退職チェックリストに全 SaaS を網羅することが重要です。

内部脅威への対策 - 従業員による情報漏洩と退職者リスクを防ぐ

この記事は約 13 分で読めます

内部脅威は、組織が直面するセキュリティリスクの中で最もコストが高く、検知が困難なものの 1 つです。Ponemon Institute の 2023 年グローバル内部脅威コストレポートによると、内部脅威インシデントの年間平均コストは 1 組織あたり 1,540 万ドルに達し、2018 年から 76% 増加しました。境界防御を突破する必要がある外部攻撃とは異なり、内部者はすでに正当なアクセス制御の認証情報と組織内部の知識を持っています。Verizon の 2024 年データ侵害調査レポート (DBIR) では、データ侵害の 35% に内部要因が関与していると報告されています。本記事では、最小権限の原則の実装から行動分析の導入、セキュリティ意識の高い組織文化の構築まで、内部脅威を軽減する実践的な戦略を解説します。

内部脅威の統計と実態

悪意ある内部者 vs 過失による漏洩

内部脅威と聞くと、企業秘密を持ち出すスパイのような存在を想像しがちですが、実態は大きく異なります。Ponemon の分類によると、内部脅威の 56% は従業員の過失 (メールの誤送信、設定ミス、フィッシングへの引っかかり) に起因し、悪意ある内部者は 25%、認証情報の窃取が 19% を占めます。過失による漏洩は 1 件あたりの平均コストが 505,113 ドルと比較的低いものの、発生頻度が圧倒的に高いため、総コストでは最大のカテゴリです。

悪意ある内部者による事件は 1 件あたり平均 701,500 ドルのコストが発生し、検知までの平均日数は 85 日です。退職予定者が競合他社への転職前に顧客リストや技術文書を持ち出すケースが典型的です。一方、認証情報の窃取は 1 件あたり平均 679,621 ドルで、外部の攻撃者がフィッシングやソーシャルエンジニアリングで従業員の認証情報を入手し、正規ユーザーになりすましてシステムに侵入するパターンです。

最小権限の原則の実装

RBAC と ABAC の使い分け

内部脅威対策の基盤は、最小権限の原則の徹底です。従業員には業務に必要な最小限のアクセス権限だけを付与し、不要な権限は即座に剥奪します。これを実現する代表的な手法が RBAC (役職ベースのアクセス制御) と ABAC (属性ベースのアクセス制御) です。

RBAC は「営業部長」「開発者」「経理担当」といった役職にアクセス権限のセットを紐づける方式で、管理がシンプルで導入しやすい反面、同じ役職でも担当プロジェクトによって必要な権限が異なるケースに対応しにくい欠点があります。ABAC はユーザーの属性 (部署、役職、勤務地)、リソースの属性 (機密レベル、プロジェクト)、環境の属性 (時間帯、アクセス元 IP、デバイス種別) を組み合わせて動的にアクセスを制御します。例えば「経理担当者が、業務時間内に、社内ネットワークから、自部門の財務データにのみアクセスできる」といったきめ細かいポリシーを定義できます。Gartner は 2025 年までに大企業の 70% が ABAC を何らかの形で導入すると予測しています。

実務上は RBAC と ABAC を組み合わせるハイブリッドアプローチが効果的です。基本的なアクセス権限は RBAC で管理し、機密性の高いリソースへのアクセスには ABAC の動的制御を追加します。こうしたアクセス制御の設計は、企業のパスワードポリシー全体と整合させることが重要です。また、90 日ごとのアクセスレビューを実施し、使われていない権限を定期的に棚卸しすることが重要です。Microsoft の調査では、企業の平均的な従業員が持つアクセス権限のうち、実際に使用されているのは 5% 未満であると報告されています。

退職者のアクセス無効化チェックリスト

退職日までのタイムライン

退職者のアクセス管理は、内部脅威対策の中でも最も見落とされやすい領域です。Osterman Research の 2024 年調査によると、退職者の 69% が退職後も企業データにアクセス可能な状態にあり、そのうち 36% は退職後 1 週間以上アクセスが残っていました。退職通知を受けた時点から、段階的にアクセスを縮小するプロセスを開始すべきです。

退職 2 週間前には、機密プロジェクトへのアクセスを解除し、引き継ぎに必要な範囲のみに権限を限定します。退職 1 週間前には、共有ドライブの書き込み権限を読み取り専用に変更し、大量のファイルダウンロードを監視対象に追加します。退職日当日には、全アカウントを即座に無効化します。Active Directory、Google Workspace、Microsoft 365 のアカウント停止はもちろん、見落としがちな SaaS アカウント (Slack、GitHub、Notion、Figma、Jira、Salesforce など) も漏れなく無効化してください。

Beyond Identity の 2024 年レポートでは、平均的な企業が従業員 1 人あたり 87 の SaaS アプリケーションを利用しており、IT 部門が把握していないシャドー IT を含めると実数はさらに多いと指摘しています。退職者のアクセス無効化を確実に行うには、SCIM (System for Cross-domain Identity Management) プロトコルに対応した ID 管理基盤を導入し、アカウントの一括プロビジョニング・デプロビジョニングを自動化することが理想的です。

UEBA による異常検知

行動ベースラインとアラート

UEBA (User and Entity Behavior Analytics) は、ユーザーやデバイスの通常の行動パターンをベースラインとして学習し、逸脱した行動をリアルタイムで検知する技術です。従来のルールベースの検知 (「深夜 2 時にログインしたらアラート」) とは異なり、UEBA は個々のユーザーの行動パターンを機械学習で分析するため、「普段は 9 時〜18 時に勤務する従業員が深夜にアクセスした」場合にのみアラートを発し、夜勤の従業員の深夜アクセスは正常と判断します。

UEBA が検知する典型的な異常パターンには、通常アクセスしないデータベースやファイルサーバーへのアクセス、短時間での大量ファイルダウンロード、USB デバイスへの大量データコピー、通常と異なる時間帯や場所からのアクセス、権限昇格の試行などがあります。これらの異常をSIEM (Security Information and Event Management) と連携させることで、ログの相関分析が可能になり、単独では見逃しがちな複合的な脅威を検知できます。UEBA はゼロトラストセキュリティの「常に検証する」という原則を技術的に実現する中核コンポーネントでもあります。

UEBA の導入で注意すべきは、誤検知 (false positive) の管理です。導入初期はベースラインの学習が不十分なため、大量の誤検知が発生します。Gartner は UEBA の有効なベースライン構築に最低 30 日間のデータ収集を推奨しています。また、アラートの優先度付け (リスクスコアリング) を適切に設計しないと、セキュリティチームがアラート疲れに陥り、本当に重要なアラートを見逃す危険があります。

組織文化と内部通報制度

技術的な対策だけでは内部脅威を完全に防ぐことはできません。監視ツールを導入しても、従業員が「監視されている」と感じれば信頼関係が損なわれ、かえって不満や離職を招き、内部脅威のリスクを高める逆効果が生じます。Carnegie Mellon 大学の CERT Insider Threat Center の研究では、内部脅威の多くが職場での不満、評価への不公平感、人間関係の悪化をきっかけに発生していると報告されています。

心理的安全性の高い組織では、従業員がセキュリティ上の懸念を報告しやすくなります。「同僚が不審な行動をしている」「自分が誤ってデータを外部に送信してしまった」といった報告が、報復を恐れずにできる環境が重要です。内部通報制度 (whistleblowing system) を設計する際は、匿名での通報を可能にし、通報者の保護を明文化し、通報に対する調査プロセスを透明化してください。EU の内部通報者保護指令 (2019/1937) や日本の公益通報者保護法を参考に、法的な保護の枠組みも整備すべきです。

DTEX Systems の 2024 年 Insider Risk Report によると、ゼロトラストアーキテクチャを導入した組織は、内部脅威インシデントの検知時間を平均 42% 短縮しています。ゼロトラストの「決して信頼せず、常に検証する」という原則は、内部者に対しても例外なく適用されるべきです。ただし、ゼロトラストの導入は従業員の業務効率に影響を与える可能性があるため、セキュリティと利便性のバランスを慎重に設計する必要があります。

今すぐできること

内部脅威対策を体系的に強化したい組織には、内部脅威と情報セキュリティの解説書 (Amazon)が包括的なフレームワークと事例を提供しています。

全従業員のアクセス権限を棚卸しし、業務に不要な権限を即座に削除する (90 日以上使用されていない権限は優先的に見直す)
退職者のアクセス無効化チェックリストを作成し、SaaS アカウントを含む全サービスの棚卸しを実施する
内部通報制度を整備し、匿名での報告が可能な仕組みを導入する
パスつく.com で各システムに固有の強力なパスワードを生成し、認証情報の共有・使い回しを排除する

よくある質問

内部脅威で最も多い原因は何ですか？: Ponemon Institute の調査によると、内部脅威の 56% は従業員の過失に起因します。メールの誤送信、クラウドストレージの設定ミス、フィッシングメールへの引っかかりなど、悪意のない行動が最大の原因です。悪意ある内部者は 25%、認証情報の窃取は 19% にとどまります。
UEBA の導入にはどのくらいの期間が必要ですか？: UEBA ツールの技術的な導入自体は数週間で完了しますが、有効なベースラインの構築には最低 30 日間のデータ収集が必要です。導入初期は誤検知が多発するため、3〜6 か月かけてチューニングを行い、アラートの精度を高めていくのが一般的です。
退職者のアカウント無効化で最も見落とされやすいものは何ですか？: SaaS アカウントが最も見落とされやすい領域です。Active Directory や Google Workspace は IT 部門が管理していますが、部門単位で契約した Slack、Notion、Figma、GitHub などのアカウントは IT 部門の管理外にあることが多く、退職後もアクセスが残りがちです。SCIM 対応の ID 管理基盤で一元管理するか、退職チェックリストに全 SaaS を網羅することが重要です。

この記事は役に立ちましたか？

パスワードを生成する →