オフィス内に潜むインサイダー脅威 - 第1回

2010/12/07

セキュリティの世界では、インサイダー脅威は企業が直面する最も致命的な脅威の1つです。なぜインサイダー脅威、そしてその被害が非常に大きくなるのでしょうか。人目につかず、容易で素早く的確であるため、特定することが困難なことが特徴としてあげられます。

インサイダーは通常、既に機密データに問題なくアクセスできる人間が容易に重要資産に侵入します。彼らは、自分の仕事のために機密データや重要資産にアクセスする必要があるため、最適なターゲットを見つけるために偵察や共有の列挙、脆弱性のスキャン、脆弱性の利用、システム間のリープフロッグを行わなくても、どこに行きどのようにすれば情報を入手できるかを正確に理解しています。つまり、IPSやファイアウォール関連の制御のアラームが作動するような行動は一切とりません。インサイダーは、彼らに求められる活動に従事しているため、その脅威を発見することは非常に困難といえるでしょう。

機密データへのアクセスは彼らの職務の一部ではありますが、インサイダー脅威を特定する際の注意信号でもあります。「他の社員よりも頻繁に機密ファイルにアクセスする」、「非常に重要とみなされる情報にアクセスする」、「通常ではない場所からアクセスする」、「普通ではない時間(例えば勤務時間中に対して午前3時)に情報にアクセスする」といった活動は、疑わしい可能性があります。また、実際に悪意があるというよりは不注意や過失の可能性もあります。脅威が不注意によるものか、それとも背後に動機があるものかを見分けることは、非常に困難です。その他、インサイダー脅威には、ハイテクよりもローテクの方が有効という特徴があります。機密データを持ち出すためには、システムに通り道を作成する必要はなく、データをハードディスクやサムドライブにコピーするだけで十分だからです。

では、社内にいるこうしたインサイダーは誰なのでしょうか。ほとんどの場合、社員、特権を持った管理者、パートナー、コンサルタント、顧客といった組織の内部の人間です。大抵、人間として私達は間違ったことをしたがらないし、人間の良心を考える傾向にあります。しかし、悪人はそのことを熟知しており、内部から組織に侵入しようとします。社内の人間に関するネガティブな情報を入手して、機密データを獲得するためにこの情報を利用すると脅す場合もあります。

企業が知らないうちにインサイダーを採用するケースもあります。一年ほど前にシンガポールで、犯罪カルテルが実際に多くの金融機関に社員を送り込み、個人情報や金融情報を盗み出しました。また、個人的もしくは職業的な理由、さらには政治理念から、個人が悪意を持つこともあります。Aldridge Aimesという人間は1962年にCIAで働き始め、20年後には機密情報をソビエトに売り渡し始めていました。インサイダーとなるまでの彼のキャリアは非常に長いものでした。Robert Hansonは1976年にFBIに入局し、3年後にPALM 2を使用してフロッピードライブを暗号化し、政府の機密情報を持ち運びました。AimesもHansonも、現在は仮釈放なしの終身刑に服しています。1960年代、元NSA職員のRobert Peltonは、ウィーンでの休暇中に政府の機密情報を、現地に駐在中のKGBの幹部に売り渡すことを決意しました。彼は3回連続の終身刑に服しています。

インサイダーには身体的なプロフィールはありませんが、心理的な警告サインはいくつか存在しています。警告サインとしては、反社会的な行動、自己中心主義、過剰な優越感、または一種の不名誉ごとの経験(離婚、不倫、破産、麻薬の常用)などがあります。

インサイダー脅威はITの問題だけではありません。法律、人事、経営管理と常に密接に関係しています。次回は、インサイダー脅威を特定するために企業がITとどのように連携すべきか、また企業が事前に行動してインサイダーの採用を回避するためにできることは何か、について解説します。

関連記事

※本ページの内容はSecurity Insights Blogの抄訳です。
原文:Enemy at the Water Cooler - Part I