2024 年 11 月 19 日 Carla Roncato 著

サイバー詐欺、ランサムウェア、個人情報盗難などの外部リスクは、しばしば脚光を浴びます。ウォッチガードの脅威ラボによれば、先月は毎日 105,571 件のマルウェア攻撃がブロックされています。これは 1 秒に 1 件以上の割合となる計算です。しかし、そのような外部からのリスクが取り沙汰される一方で、内部者を要因とするインサイダー脅威は、検出がより困難であるにもかかわらず組織に同様のダメージを与える可能性があります。

こうしたインサイダー脅威には、不満を持つ従業員によるデータ窃盗や破壊工作のような意図的なものと、偶発的なデータ漏洩やポリシー違反のような、非意図的なものがあります。Statista のデータによると、インサイダー脅威は CISO にとって最上位のリスクであり、CISO の 30% が最も深刻なサイバーセキュリティリスクのトップ 5 の 1 つと考えています。これは、インサイダーアクセスを持つ従業員、請負業者、ベンダがセキュリティ管理のルールに違反した際には、悪意ある行為者が容易に侵入できるようになるためです。例えば、財務システムや調達システムの特権を活用して不正行為を行ったり、故意または過失でデータを流出させたり、組織のセキュリティを脅かすその他の悪質な行為を行ったりする可能性が考えられます。インサイダー脅威に関連するリスクを軽減するための事前対策を実施することは、このような動きを食い止めるために、極めて重要です。

インサイダー脅威の主な要因のひとつは、情報技術（IT）の複雑化です。技術が高度化し、多くの従業員が企業ネットワークにアクセスするようになると、攻撃対象が拡大し、サイバーセキュリティ担当者がすべてを保護・監視することが困難になります。この複雑性によって生じる可視性の欠如は、ハッカーにとってはギャップを容易に見つけ出しやすく、悪用の可能性に繋がります。

リモートワークの増加も、日々のアクティビティの監視を困難にし、不正行為の検出を難しくしています。Cifas の報告によると、英国では 2023 年にインサイダー脅威データベース（ITD）の登録件数が 14％ 増加し、その主な原因は従業員による不正行為（49％）で、その主な引き金として多くの組織が財務上のプレッシャーの増大を挙げています。

このような背景から、組織は以下の主要な分野に対処する内部リスク管理プログラムを実施する必要があります。

1. ポリシーガイドライン
   会社のリソースの許容される使用範囲、データの取り扱い、違反の結果を明確に定義する。
2. アクセス管理
   役割ベースの管理と最小特権の原則を適用し、従業員がそれぞれの職務を遂行するために必要な情報のみにアクセスできるようにする。
3. 監視と検知
   ユーザアクティビティ監視ツールを導入し、異常なふるまいを特定するとともに、機械学習による行動分析で規則違反を検知する。
4. インシデント対応計画
   インシデントの範囲と影響を評価するためのフォレンジック調査の実施能力など、インサイダー脅威が検知された場合に従うべき具体的な手順を含む計画を策定する。
5. 文化の醸成と教育
   従業員が不審な行動を安心して報告できるような透明性と信頼の文化を醸成し、内部不正やその他の危険なアクティビティを行った際のリスクと、それがもたらす結果に関する教育を提供する。

インサイダー脅威に対処するためには、AI を活用した詐欺やソーシャルメディアの虚偽情報など、外的要因が従業員の行動に影響を及ぼし、知らず知らずのうちにリスクのベクターとなっている場合があることも理解する必要があります。巧妙化するフィッシングで、従業員も気づかぬうちに情報を共有してしまう事態も考えられる昨今、こうした脅威の検知はますます難しくなっています。

多要素認証（MFA）を導入して認証情報保護を強化することも、企業がシステムを保護するために講じるべき重要なステップのひとつです。堅牢なテクノロジ、継続的な教育、プロアクティブな警戒を一体化することで、内部および外部の脅威がもたらすリスクを効果的に軽減し、複雑化する環境における組織のレジリエンスを確保することができます。