本日は、内部不正対策システム「Ekran」を販売する「Ekran System社」が2016年に公表している「IT基盤における内部不正:全体像、データと傾向」情報から、内部不正を大解剖していきます。
これを読めば、内部不正の全体像と、取り組むべき課題が見えてきます。
内部不正とは何か
まずは、内部不正とは何かについてです。内部不正を簡単に定義すると、組織内から生じるセキュリティ脅威です。これらは悪質な行為であり、会社の機密データやインフラストラクチャに対して、正当なアクセス権を持っている人間によって実行されます。通常業務との区別が困難なことから、彼らの悪意ある行動は、なかなか目に見えません。彼らは顧客、協力会社に関する機密情報、企業秘密、デジタル製品を複製・削除・変更したり、金銭、詐欺目的で悪質なソフトウェアを埋め込み、重要なインフラストラクチャを制御したりします。
悪質な内部関係者によって引き起こされた行為は、ビジネスまたはクライアントが受ける損害とダメージコントロール、および修復に多額のコストをもたらすため、内部不正は非常に危険なものであると言えます。また、対処に費用がかかる上に、検出と予防が難しく、外部攻撃とはまったく異なるアプローチが必要になります。
内部不正が与える金銭的損害は最も高い
図1:攻撃頻度による加重平均年間サイバー犯罪コスト
図1が示すように、悪質な内部関係者による犯罪の平均被害額は、他の攻撃による被害額よりも遥かに高いことが分かります。
高額なコストとなる理由は、一般的に、調査やダメージコントロール、顧客および事業の喪失によるコストが高額であるためです。
内部不正の処理にかかる時間
図2: 攻撃の解決に要する推定平均時間(日数)
図2が示している様に、内部不正は解決までに最も長い時間がかかります。理由は、内部不正の検出がしづらいことにあります。
脆弱性を検出、修正するために、内部不正行為を完全に再現することは困難です。殆どのセキュリティ専門家は、多くの内部不正が発覚も解決もされていないと指摘しており、実際はこの統計以上に深刻な状況です。
内部不正を起こす違反者の割合
悪質な内部関係者と聞くと、多くの人は社内で働いている従業員を思い浮かべると思います。しかしながら、内部不正対策の対象を従業員のみに限定することは誤りであり、監視の目をくぐり抜ける、別の対象に対して企業を危険に晒すことにつながります。
図3:1年間のセキュリティ違反者の割合
図3が示しているように、報告されたセキュリティ違反の40%は、在職中の従業員による犯行であることがわかります。ただし、下請け業者と元従業員による違反数の合計は、従業員のよる違反数とほぼ同数で、全体の38%を占めています。それらもまた脅威として考えなければなりません。
内部不正対策においては、下請け業者、サードパーティ、および元従業員はすべて、企業の一部として拡大解釈すべきです。
最もセキュリティリスクが高い関係者
内部不正を引き起こす違反者は様々な立場の人間であり、立場によって様々なリスクを組織にもたらす事が分かりました。続いて、セキュリティについて確認していきましょう。
図4:最もセキュリティリスクが高い内部関係者
図4に示されているように、特権ユーザーと下請け業者は、一般従業員よりもはるかに大きな脅威をもたらす事がわかっています。
多くの場合、特権ユーザーは通常の従業員と比べて、最高レベルのアクセス権を持ち、信頼できると見なされるため、厳密な管理の対象にはなりません。
このことは、しばしば、悪意をもった不正行為の実行を目的とした特権の悪用を許すことにつながります。
内部不正を行う理由
セキュリティの専門家であるブルース・シュナイアーの著書「Beyond Fear」では、攻撃者のプロファイルを5つに分類しています
機会犯
このタイプの攻撃者は、チャンスがあれば実行します。実行のタイミングは、「発覚することなく、安全に実行できることを確信している時」です。基本的なセキュリティ対策とユーザーの意識で、この攻撃者は簡単に食い止めることができます。
感情的攻撃者
一般的に、社員の不満が表出して発生します。このような攻撃者は高いリスクを冒すことをいとわず、通常は基本的なセキュリティ対策で防ぐことはできません。事実として、感情的な攻撃者たちは自らの不満に注目を集める手段としてむしろ捕まることを望む場合もあります。
知能犯
事前に計画を立てて実行に移す、知識豊富で熟練した攻撃者のパターンです。このタイプの攻撃者は、一般的に特定のデータを標的にしており、基本的なセキュリティ対策で阻止されるものではありません。
テロリスト
このタイプの攻撃者は、攻撃の前に企業に予告を行います。敢えてセキュリティ対策を強化させ、ハイリスクな環境に挑みます。攻撃の難しさにこそ達成感を得ることさえあります。
友人・親族
従業員が自身の友人・親族の被害者になることもあります。友達または家族が、従業員の資格情報を使用して、彼らの知らないうちに詐欺やデータ搾取などを犯すこともあります。
内部不正を行う目的
悪質な行動を行う目的も様々です。CERTプログラムの研究者は、攻撃者の目的と動機に基づく内部不正の種類として、主要な4つのタイプを取り上げました。
ITサボタージュ
特権アクセス権を持ち、直接会社のITにアクセスできる人によって行われる技術的に洗練された攻撃です。システム管理者、プログラマー、知識のある特権ユーザーは、バックドアをインストール、ソフトウェアコードへ悪意のあるプログラムを埋め込み、システム設定を変更したり、その他の方法で会社のITインフラを破壊する目的で、会社のインフラへのアクセスを実行したりします。このような攻撃は、解雇前の会社に不満のある従業員によるものが多く見受けられます。
詐欺
個人の機密データを保持またはアクセスできる従業員は、個人的利益のために様々な詐欺行為を行います。ビジネスもしくはクライアントの情報窃取、なりすまし、違法取引、ソーシャルエンジニアリング、違法薬物の入手などの目的でデータを削除/変更します。
知的財産の窃取
このタイプの攻撃は、テクノロジー、ソースコード、もしくはコンテンツといったような重要なデジタル製品や企業秘密を盗むことを目的としています。それは一般的に、エンジニア、プログラマー、コンテンツクリエーターを含む知的財産に直接アクセスできる人間によって行われます。
諜報活動
産業スパイ活動と妨害行為は通常、綿密に計画され、特権アクセス権を持つ従業員が関与しています。こうしたタイプの攻撃は特に危険であり、対処が困難です。
また、すべての内部攻撃が悪意のあるユーザーからのものであるとは限りません。
教育が不十分な従業員は、しばしばデータ漏洩を引き起こし、悪意ある外部者に対し不注意に機密データにアクセスをさせてしまうことがあります。
図5では、主なセキュリティ専門家に彼らが最も懸念している内部不正の脅威について質問しました。
データ漏えいと不注意によるデータ侵害が上位を占めており、内部不正におけるヒューマンエラーの要因の大きさを示しています。
内部攻撃を可能にしてしまう行為
従業員が悪意のある動機を持っている場合、内部攻撃は実行されます。故意ではないユーザーエラーも、結果として深刻なデータ漏えいやセキュリティ違反を発生させます。図6では様々な要因の調査を行い、米国企業が抱えるリスクレベルを検証しました。
図6:米国企業が組織にとって最大の内部セキュリティ脅威であると考えているもの
リムーバルストレージデバイス
49%の企業は、リムーバルUSBストレージが最大のセキュリティ脅威であるとみなしています。USBは小型で目立たず、使い勝手がよく、簡単に持ち運べます。USBに大量のデータをコピーしたり、自動で接続、アクティベートできる悪質なコードも運べてしまうのです。このようなデバイスを管理するためのポリシーと解決策は、セキュリティの実装に不可欠です。
データ保護ポリシーに従わないユーザー
決められた手順が設定されている理由を知らない、といったセキュリティ教育を受けていないユーザーの存在は、会社のセキュリティに大きなリスクをもたらします。このようなユーザーによるセキュリティポリシーの過失は、意図しないデータ漏洩や数十万ドルの損害を引き起こす可能性があります。また、会社のセキュリティポリシーに違反している社員を報告できる仕組みがないと、結果として悪意のある内部攻撃を検出することもできなくなります。
業務上許可されていないアプリケーションの使用
安全でないデータチャネルを使用することにより、従業員は組織をデータ漏洩や悪質な攻撃に晒す可能性があります。許可されていないアプリケーションは、悪質な従業員によってデータをすばやくコピーまたは毀損したり、インフラストラクチャにアクセスしたり、自分の足跡を隠したりするために使用される可能性があります。
メール内のリンク
スパムそれ自体はそれほど大きな問題として考えられていません。しかしながら、教育されていないユーザーが悪質なリンクをクリックすれば、加害者に対して会社のインフラストラクチャやリソースへのフルアクセスを提供してしまう可能性があります。
モバイルデバイス使用の増加
社内のモバイルデバイスの使用は絶えず増加していますが、企業レベルのセキュリティは実装されていません。従業員のモバイルデバイスは従業員だけではなく、組織外の加害者に対しても重要データとインフラストラクチャへのアクセスを可能にしてしまいます。
パスワードのシェア
会社がパスワード共有を防止するポリシーを設定している場合でも、しばしば従業員は自身の都合でパスワードを共有してしまうことがあります。パスワードの共有は誰が機密データにアクセスしたのか解析することを難しくしてしまいます。また、これは本来であればアクセスが許可されていない内部の人間に対してデータへのアクセスを許してしまうことにもつながってしまいます。
Ekran -内部不正の効果的な解決策-
内部不正を検出および制御する最も効果的な方法の1つは、Ekranなどの専用のユーザー監視ソフトウェアを使用することです。Ekranは、クライアントがインストールされているコンピューター上のすべてのユーザーセッションを記録するエージェントベースのソリューションです。
ユーザーは記録されていること明確に認識しますが、自ら記録を停止したり、クライアントをブロックしたりすることはできません。結果として残された記録により、ユーザーが実行したすべてのアクションを明確に確認し、悪質、または不正なアクティビティを簡単に特定できます。
すべてのエンドポイント(デスクトップとサーバー)からのデータは、便利なWebベースの管理ツールを介して、アクセスが可能な一元化されたデータベースに保存されます。
セッションビデオレコーディング
Ekranは、ユーザーが画面に表示するすべてのものをマウスの動きを含めて完全にビデオ録画します。 使用されているアプリケーションとアクティブなウィンドウの名前、キーストローク、入力されたコマンド、アクセスしたURLなど、関連するメタデータも記録されます。各ビデオは特定のユーザーに明確に関連付けられ、簡単に検索できるようにインデックスが付けられます。
特権ユーザーの監視
Ekranは、システム内での特権レベルに関係なく、すべてのユーザーを監視できます。管理者は、記録を一時停止したり、クライアントをブロックしたりすることはできません。
誰かが適正な許可なしに悪質なコードを実行したり、機密データにアクセスした場合、テキストメタデータログが付与された画像ログを介して、その操作が明確に可視化されます。
下請け業者の監視
Ekranは、下請け業者やサードパーティベンダーの監視にも効果的です。すべてのリモートユーザーのアクションを明確に可視化、および、完全に記録するため、潜在的なインシデントの原因をすばやく見つけることができます。
警告と通知
Ekranは、カスタマイズ可能なアラートと通知機能を持っており、潜在的に悪質なアクションに対する素早い通知が可能です。アラートは特定のイベント後に発信するように設定でき、関連する画像ログへのリンクを含む通知を電子メールで送信します。セキュリティ担当者は、ユーザー画面からのライブビデオフィードを見て、そのユーザーが何をしているかを正確に確認することが可能です。ユーザーが悪質な行動をとった場合、すぐに該当ユーザーをブロックして、実害を防ぐ事が出来ます。
USBデバイスの管理
USBストレージデバイスは、悪質な内部関係者が貴重なデータをコピーして盗むために使用される問題が頻発しています。Ekranは、接続時にそのようなデバイスを検出し、オプションで自動的にブロックすることが可能です。
レポート機能
Ekranには、事前に定義されたパラメータで多数のレポートを作成する強力なレポート作成ツールがあります。これらのレポートは、セキュリティ監査とリスク評価に役に立ちます。Ekranは、柔軟なクライアントごとのライセンススキームを使用しており、企業規模に関係なく、内部不正検出の問題を費用対効果の高い方法で解決が可能です。
いかがでしたでしょうか。今回は、内部不正についてご紹介しました。
それでは、次回の記事をお楽しみに!
Ekranにご興味を持っていただけましたら、以下のリンクからお問い合わせください。