内部脅威とは
この記事は約 2 分で読めます
内部脅威 (Insider Threat) とは、組織の内部にいる人間 - 従業員、契約社員、ビジネスパートナーなど - が意図的または過失によって引き起こすセキュリティ上の脅威を指します。外部からの攻撃と異なり、内部脅威は正規のアクセス権限を持つ人物が起点となるため、ファイアウォールや境界防御では検知が困難です。Verizon の Data Breach Investigations Report (DBIR) によれば、データ侵害の約 20% に内部関係者が関与しており、 1 件あたりの被害額は外部攻撃を上回る傾向にあります。
内部脅威の 3 類型
内部脅威は動機と経緯によって大きく 3 つに分類されます。それぞれ検知手法と対策が異なるため、類型を正しく理解することが防御の出発点です。
金銭目的、報復、スパイ活動など明確な意図を持って情報を持ち出す。退職予定者や処遇に不満を持つ従業員に多い。
誤送信、設定ミス、フィッシングへの引っかかりなど、悪意なくセキュリティインシデントを引き起こす。件数としては最多。
外部攻撃者が正規ユーザーの認証情報を窃取し、内部者として振る舞う。クレデンシャルスタッフィングが典型的な侵入経路。
UEBA による検知
従来のルールベースの監視では、正規権限内の不審な行動を見抜くことが困難でした。 UEBA (User and Entity Behavior Analytics) は、機械学習を用いて各ユーザーの「通常の行動パターン」をベースラインとして学習し、逸脱を検知します。たとえば、普段アクセスしないファイルサーバーへの大量ダウンロード、深夜帯の異常なログイン、退職予定日が近い従業員による機密フォルダへのアクセス急増といった振る舞いを自動的にスコアリングし、SIEM と連携してアラートを発報します。
内部脅威の検知フロー
退職者のアクセス権限管理
内部脅威インシデントの多くは退職前後の期間に集中します。退職が決まった従業員が在職中に機密データを持ち出すケースは珍しくありません。IAM の運用として、退職予定者のアクセス権限を段階的に縮小し、最終出社日には全アカウントを即時無効化する手順を確立しておくことが重要です。退職後もクラウドサービスの個人アカウントに業務データが残存していないか確認する必要があります。
最小権限の原則との関係
最小権限の原則は内部脅威対策の基盤です。全従業員に広範なアクセス権を付与していると、悪意ある行動の影響範囲が拡大し、過失による事故の発生確率も高まります。職務に必要な最小限の権限のみを付与し、定期的なセキュリティ監査で不要な権限の蓄積 (権限クリープ) を防ぐことが、被害を局所化する鍵となります。データ分類と組み合わせれば、機密度に応じたアクセス制御をより精緻に設計できます。
よくある誤解
「うちの会社は小規模だから内部脅威は関係ない」という認識は危険です。小規模組織ほど権限分離が甘く、1 人の従業員が広範なシステムにアクセスできる傾向があります。また、内部脅威は悪意だけでなく過失も含むため、従業員を信頼しているかどうかとは別の問題です。アクセス制御の仕組みは「信頼しないから設ける」のではなく「信頼を維持するために設ける」ものだと捉えるべきです。内部脅威対策の実践的なアプローチは内部脅威対策の記事で詳しく解説しています。内部脅威対策の関連書籍 (Amazon)も実務の参考になります。
現場での使用例
「退職予定者が最終出社日の 2 週間前から、通常アクセスしない設計図面フォルダに連日アクセスしていることを UEBA が検知しました。調査の結果、競合他社への転職に備えたデータ持ち出しの試みであることが判明し、未然に防止できました。」
組織全体のセキュリティ体制については企業のパスワードポリシーやスタートアップのセキュリティチェックリストもあわせて参照してください。
この記事は役に立ちましたか?