内部脅威とは

内部脅威とは、組織内の個人が組織のデータや情報システムに対し、意図的または偶発的にもたらすセキュリティ脅威のことです。悪質な内部攻撃者は、外部ハッカーより危険だと考えられます。それには主に3つの理由があります。

  1. 企業の機密データは内部攻撃者の手の届く範囲にあります。特権アクセスを持っていなくとも、内部の人物であればターゲットとする情報の保存場所や取得方法は把握しているはずであるからです。
  2. 企業は基本的に従業員を信頼する前提のため、悪意ある内部攻撃者の存在を容易に見落としてしまいます。大半のケースで企業は最後まで自社の従業員を疑わないため、攻撃の発生源が内部であると特定されるまで時間がかかります。
  3. 内部攻撃者は比較的容易に攻撃の痕跡を消すことができます。Active Directoryの監査ログも外部攻撃者より簡単に削除することができ、社内ネットワークにアクセスする際に境界防御を突破する必要もありません。

内部脅威を防ぐには

内部脅威を防ぐためには、以下の対策をとります。

  • ゼロトラストや最小権限の原則を適用することで、低リスクなActive Directory環境を保つ
  • 定期的なリスク評価により、脅威を特定する
  • すべてのユーザー及びシステムの動作をリアルタイムに監視し、内部脅威の兆候を探す
  • ユーザー/エンティティの行動において、時間/回数/パターンに異常がないか確認する
  • リスクスコアリングシステムを導入して、内部攻撃の兆候を検出する
  • 内部脅威のリスクスコアが高いユーザーをウォッチリストに追加し、注意深く監視する
  • 組織独自の内部脅威ルールを制定する

内部脅威対策に有効なUEBAとは?

UEBA(User and Entity Behavior Analysis)とは、機械学習によるユーザーやエンティティの異常な行動を検知する手法を指し、内部・外部脅威に対する有効な施策の一つとして導入が進んでいます。

UEBAでできること

  • ユーザー/エンティティのリアルタイム監視
  • リスク評価システムによる脅威の特定と優先的な監視
  • 機械学習による動作パターンベースラインの作成
  • 内部脅威に対する独自ルールの策定 など