内部威胁

本文约需 2 分钟阅读

内部脅威 (Insider Threat) とは、組織の内部にいる人間 - 従業員、契約社員、 ビジネスパートナーなど - が意図的または過失によって引き起こすセキュリティ上の 脅威を指します。外部からの攻撃と異なり、内部脅威は正規のアクセス権限を持つ 人物が起点となるため、ファイアウォールや 境界防御では検知が困難です。Verizon の Data Breach Investigations Report (DBIR) によれば、データ侵害の約 20% に内部関係者が関与しており、 1 件あたりの被害額は外部攻撃を上回る傾向にあります。

内部脅威の 3 類型

内部脅威は動機と経緯によって大きく 3 つに分類されます。それぞれ検知手法と 対策が異なるため、類型を正しく理解することが防御の出発点です。

UEBA による検知

従来のルールベースの監視では、正規権限内の不審な行動を見抜くことが困難でした。 UEBA (User and Entity Behavior Analytics) は、機械学習を用いて各ユーザーの 「通常の行動パターン」をベースラインとして学習し、逸脱を検知します。 たとえば、普段アクセスしないファイルサーバーへの大量ダウンロード、深夜帯の 異常なログイン、退職予定日が近い従業員による機密フォルダへのアクセス急増 といった振る舞いを自動的にスコアリングし、SIEM と連携して アラートを発報します。

内部脅威の検知フロー

退職者のアクセス権限管理

内部脅威インシデントの多くは退職前後の期間に集中します。退職が決まった従業員が 在職中に機密データを持ち出すケースは珍しくありません。IAM の運用として、 退職予定者のアクセス権限を段階的に縮小し、最終出社日には全アカウントを即時 無効化する手順を確立しておくことが重要です。退職後もクラウドサービスの 個人アカウントに業務データが残存していないか確認する必要があります。

最小権限の原則との関係

最小権限の原則は 内部脅威対策の基盤です。全従業員に広範なアクセス権を付与していると、 悪意ある行動の影響範囲が拡大し、過失による事故の発生確率も高まります。 職務に必要な最小限の権限のみを付与し、定期的なセキュリティ監査で 不要な権限の蓄積 (権限クリープ) を防ぐことが、被害を局所化する鍵となります。データ分類と 組み合わせれば、機密度に応じたアクセス制御をより精緻に設計できます。

よくある誤解

「うちの会社は小規模だから内部脅威は関係ない」という認識は危険です。 小規模組織ほど権限分離が甘く、1 人の従業員が広範なシステムにアクセスできる 傾向があります。また、内部脅威は悪意だけでなく過失も含むため、従業員を 信頼しているかどうかとは別の問題です。アクセス制御の 仕組みは「信頼しないから設ける」のではなく「信頼を維持するために設ける」 ものだと捉えるべきです。 内部脅威対策の実践的なアプローチは内部脅威対策の記事で 詳しく解説しています。内部脅威対策の関連書籍 (Amazon)も実務の参考になります。

現場での使用例

「退職予定者が最終出社日の 2 週間前から、通常アクセスしない設計図面フォルダに 連日アクセスしていることを UEBA が検知しました。調査の結果、競合他社への 転職に備えたデータ持ち出しの試みであることが判明し、未然に防止できました。」

組織全体のセキュリティ体制については企業のパスワードポリシーやスタートアップのセキュリティチェックリストも あわせて参照してください。