2014年に米国と日本で起きた内部関係者による情報漏えい事例は、すべての IT管理者にその対策を見直させる契機となりました。内部からの脅威は、その性質上、取り組みに必要な考え方がそれぞれ異なるため対処が難しい問題となっています。
内部からの脅威は、以下の 3つの論点に分けられます。なぜ内部犯行者となるのか、内部犯行者はどのような被害を与えるのか、どのように内部からの脅威を防ぐことができるか、です。
■なぜ人々は内部犯行者になるのか
内部犯行を実行する人々の動機を理解することは難しいかもしれません。こうした人々は、自身が所属する(した)組織に不利になることを行い、自身の利益と反することを間接的に行います。
動機を調査するために利用できる 1つの例は諜報活動でしょう。内部犯行は諜報活動ほど大掛かりではありませんが、基本的な考え方は同じです。諜報員になろうとする人の動機は、しばしば「MICE」という頭文字で表されます。
- M – Money(金銭)
- I – Ideology(イデオロギー)
- C – Coercion(強制力)
- E – Ego(自尊心)
2つ以上の動機が要因となることも頻繁にあります。動機が何であるかによって、攻撃の性質も変わることがあります。例えば、金銭を得ることが主な動機であれば、内部犯行者は、個人情報や機密情報を窃取して売却するために人知れず実行できる方法を選ぶかもしれません。個人的な不満が動機となっている場合は、企業の Webサイトを改ざんしたり、情報を窃取するといった攻撃を実行する恐れがあります。いずれの場合でも、自らの犯行を目立たせるような、より誇示的なものとなるでしょう。
はっきりしているのは、どのような動機で内部関係者が組織の「脅威」となるかを決定しようとすることは、複雑で多面的であり、答えは 1つではないということです。
しかし、従業員の不満は、内部犯行に向かわせる強力な動機です。こうした不満の例としては、減給や解雇、また普段は穏やかな社員に不満を募らせるような企業の行為です。辞職した従業員のアクセス権を削除するのが遅く、企業のネットワークへのアクセスが可能となれば、こうした人物も「内部からの脅威」となる可能性があります。
従業員の不満は、内部からの攻撃の裏にある動機の 1つにすぎません。自尊心も、またもう 1つの動機です。非難であろうと、賞賛であろうと、自分が受けるべき反応を得られなかった従業員は攻撃的になることがあります。その他、計画的に実行される攻撃もあります。こうした攻撃は、特に内部情報を収集する目的で企業に入った人物によって行われます。
■内部犯行者はどのような被害を与えるか
内部犯行者が与える具体的な被害はその動機によりますが、その被害が甚大になるということは間違いありません。
具体的な被害は、内部犯行者が「誰」かによります。例えば、システム管理者は受付係よりも甚大な被害を与えるだろうと推測することは、一見、論理的なように思えます。しかし、機密情報へのアクセスと知識があり、適切な情報売却先、もしくは流出先を知る人物であれば、システム管理者よりもはるかに甚大な金銭被害を企業に与えることができます。
最悪の場合、攻撃者は標的としたネットワーク上でどんなことも実行可能になります。適用されている防御を回避し、望むすべての情報にアクセスしたり、改ざんしたり、破壊できます。しかも、誰一人何が起こったか気付きません。こうした事例では、内部犯行者は何ができなかったかが問われるでしょう。
さらに、内部犯行者は、他の人物をネットワークにアクセスさせ、その人物を援護します。スピアフィッシングや水飲み場型攻撃といった他の種類の攻撃はもはや必要でなくなります。
適切に設計されたネットワークでは、従業員は自分の仕事に必要な情報だけにアクセスできるようになっています。これにより、すべてのユーザがアクセスできる情報を制限します。しかし、これでもまだ大きな被害となります。適切でない人物が適切な場所でアクセス権を持った場合、破壊的な結果を招く恐れがあります。経験則から言うと、ネットワークを侵害するために、内部犯行者は定期的にアクセスしたり変更する情報はどんなものでも利用する可能性があります。
内部関係者による情報漏えい事例では、漏えいした情報から流出元が明らかになる場合があります。しかし、流出元にまでその動きを追跡することは複雑な結果を生むかもしれないことを考慮しなければなりません。その内部犯行者は必要な情報を入手するために、交友関係のある従業員の機器を利用した可能性があります。また、そのような従業員が甚大な損害につながる文書やソフトウェアを内部犯行者に渡していた可能性もあります。
■内部からの攻撃を防ぐ
おおまかに言うと、内部からの攻撃に対する防御と軽減の手法は 2つに分けることができます。技術的なものと非技術的なものです。
内部からの攻撃を防ぐための技術的な対策は、まったく同じでないにしても、セキュリティ対策のベストプラクティスとよく似ています。外部からの攻撃と同様に、まず内部の攻撃を監視することから始めます。内部からの攻撃が起こらないように防ぐことはできないため、可能な限り、迅速に検知することが必要になります。
どのような情報がネットワーク内に流れ、どのような情報がネットワーク外に送出していくかなど、挙動を監視し、記録することは、内部の犯行者による不審な挙動を検知するために役に立ちます。多層防御の戦略における基本原則は、「侵害は起きる」と想定することです。これは、内部関係者による侵害も含むべきです。さらに、従業員が日々の業務で必要としない情報にアクセスできないように、適切なアクセスコントロールが実施されている必要があります。
しかし、非技術的なセキュリティ対策は、こうした問題を扱う上でさらに重要かもしれません。上述したように、従業員の不満は内部からの攻撃の可能性を高めます。繊細な問題に対処することは、マネージメントだけでなく、セキュリティの良い実践となるでしょう。また、セキュリティの漏えいを防ぐために、企業を離れた従業員の認証情報は、可能な限り速やかに無効にして下さい。
内部からの脅威に対処することは、今日の情報セキュリティの実践で直面する最も難しい課題の 1つです。しかし、適切な対策が適切に講じられることにより、こうした脅威を軽減することができます。
参考記事:
by Jim Gogolinski(Senior Threats Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)