海の向こうの“セキュリティ”
組織内部からの攻撃、最大のリスクになりそうなのは誰? 優先すべき対策は?
インサイダーによる脅威に対する備えや対応の実態調査
2020年1月8日 06:00
インサイダーによる脅威に対する備えや対応の実態調査
内部の人間や関係者、いわゆる「インサイダー」が関与しているセキュリティインシデントは、企業や組織にとって昔から今も変わらず深刻な脅威であり続けています。そのような中、米Cybersecurity InsidersはGuruculと連名でインサイダーの脅威に関する調査報告書「2020 Insider Threat Report」を公開しました。調査対象は、さまざまな業種の企業や組織の経営層からマネージャー、ITセキュリティの実務者まで幅広い範囲に及んでいます。また、企業や組織の規模については、10人に満たない小企業から1万人を超える大企業までとなっており、限定されていません。なお、調査対象の詳細は報告書の最後のページにまとめられています。
報告書内でポイントとして挙げられているのは以下の4点。
1)68%の組織は、インサイダーによる攻撃に対して脆弱であると感じている。
| 極めて(extremely)脆弱 | 5% |
| とても(very)脆弱 | 16% |
| どちらかと言えば(moderately)脆弱 | 47% |
| やや(slightly)脆弱 | 27% |
| 全く脆弱ではない | 5% |
2)68%の組織は、インサイダーによる攻撃はより頻繁になってきていると認めている。
| 過去12カ月で経験したインサイダーによる攻撃回数 | |
| なし | 30% |
| 1~5 | 45% |
| 6~10 | 14% |
| 11~20 | 7% |
| 21以上 | 4% |
3)53%の組織は、クラウドへの移行によってインサイダーによる攻撃の検知が困難になってきていると考えている。
| かなり(significantly)困難になった | 18% |
| いくらか(somewhat)困難になった | 35% |
| 変わらない | 31% |
| いくらか容易になった | 12% |
| かなり容易になった | 4% |
4)63%の組織は、最大のインサイダーセキュリティリスクをもたらすのは特権を持つITユーザーであると考えている。
| 特権を持つITユーザー/管理者 | 63% |
| 正規従業員 | 51% |
| 請負業者/サービスプロバイダー/臨時職員 | 50% |
| 特権を持つビジネスユーザー/幹部 | 50% |
| その他のITスタッフ | 22% |
| 経営幹部 | 16% |
| カスタマー/クライアント | 15% |
| ビジネスパートナー | 11% |
| インターン | 4% |
| 分からない/その他 | 3% |
ほかにも、Guruculのブログでは以下の2点も挙げられています。
1)SIEMの価値を最大化する際の最も大きなハードルとして、リソースの不足(31%)と多すぎる誤検知(22%)が挙げられている。
| 不十分なリソース | 31% |
| 多すぎる誤検知 | 22% |
| 未知の脅威を検知できない | 18% |
| リスクの優先順位付けができない | 14% |
| 適切なデータを記録しない | 8% |
| 必要なデータの全てを取り込めない | 6% |
2)NetFlowやパケットデータ、サービスアカウント、クラウドリソースにおける異常な振る舞いを検知できるのは約3分の1の組織しかない。
| 異常な振る舞いを検知できるもの | |
| 特権アカウント | 70% |
| 文書/文書リポジトリ | 57% |
| エンティティ(デバイスなど) | 43% |
| サービスアカウント | 39% |
| NetFlowやパケットデータ | 35% |
| クラウドアプリケーションおよびインフラ | 30% |
そのほかにもさまざまな調査結果が掲載されていますが、その中からいくつかを抜粋して紹介します。
自組織の監視や検知、インサイダーの脅威への対応が有効かどうかを尋ねた結果は次の通り。
| 全く有効でない | 4% |
| さほど有効ではない | 14% |
| やや有効 | 40% |
| とても有効 | 31% |
| 極めて有効 | 11% |
自信を持って有効とは言えない、つまり十分とは言えない状況にある企業や組織が計6割近くに及んでいることが分かります。
自組織におけるユーザーの権限管理がどれくらい有効かを尋ねた結果は次の通り。
| とても有効 | 22% | ※定評のあるIAMやIGA、PAMソリューションなど |
| どちらかと言えば有効 | 51% | ※さまざまなITソリューション内での管理など |
| やや有効 | 15% | ※スプレッドシートなど |
| 全く有効でない | 9% | ※手動による努力など |
| 分からない | 3% |
自信を持って有効と言えているのが22%にとどまっているという結果と、先述の「63%の組織は最大のインサイダーセキュリティリスクをもたらすのは特権を持つITユーザーであると考えている」との結果を合わせて考えれば、権限管理を徹底することはとても優先度の高い課題と言えるでしょう。
外部からの攻撃と比較して内部からの攻撃の方が検知や抑止が難しいかを尋ねた結果は次の通り。
| 内部からの攻撃の方が難しい | 52% |
| ほぼ同じ | 38% |
| 外部からの攻撃の方が難しい | 10% |
内部からの攻撃の検知や抑止を1年前と比較して一段と難しくしているものを尋ねた結果は次の通り。
| インサイダーはすでにネットワークやサービスへのアクセス権限を持っている | 59% |
| データを漏らす可能性のあるアプリケーション(ウェブメール、Dropbox、SNSなど)の利用増加 | 50% |
| 保護された境界を出て行くデータの量の増加 | 47% |
| 盗む能力のあるエンドユーザーデバイスの増加 | 38% |
| クラウドアプリの導入に伴うクラウドへの機密データの移行 | 35% |
| インサイダーの洗練化(高度化) | 32% |
| ネットワークやシステムに導入された不正なデバイスの検知の難しさ | 28% |
| 情報セキュリティ管理プログラムがない | 22% |
| 分からない/その他 | 7% |
ユーザーの振る舞いの監視について尋ねた結果は次の通り。
| アクセスログのみ | 36% |
| 自動化ツールによる24×7の監視 | 26% |
| 特定の状況下のみ(特定のユーザーの追跡など) | 14% |
| インシデントのあとのみ(フォレンジクス分析など) | 7% |
| 全く行っていない | 17% |
インサイダーの脅威に対する自組織の現在の取り組みについて尋ねた結果は次の通り。
| ユーザートレーニング | 49% |
| 情報セキュリティ管理プログラム | 40% |
| ユーザーの行動監視 | 36% |
| 身元確認 | 36% |
| データベース活動の監視 | 30% |
| 2段階認証 | 27% |
| 特殊化したサードパーティのアプリやデバイス | 19% |
| 使用しているOSの標準セキュリティ機能 | 19% |
| マネージドセキュリティサービスプロバイダー | 14% |
| 組織内で開発された特注のツールやアプリ | 13% |
| 何も使用していない | 6% |
| 分からない/その他 | 2% |
インサイダーの攻撃を受けた後の復旧にかかる平均コストの見積もりを尋ねた結果は次の通り。
| 10万ドル未満 | 50% |
| 10万ドルから50万ドル | 34% |
| 50万ドルから100万ドル | 11% |
| 100万ドルから200万ドル | 3% |
| 200万ドルより上 | 2% |
インサイダーの攻撃による実際のダメージを特定する難しさを尋ねた結果は次の通り。
| とても(very)難しい | 29% |
| どちらかと言えば(moderately)難しい | 58% |
| 難しくない | 13% |
インサイダーの脅威が自組織に与えるインパクトを尋ねた結果は以下の通り。
| 運営の中断や停止 | 54% |
| 重要データの損失 | 50% |
| ブランドの毀損 | 38% |
| 法的責任 | 28% |
| 競争力の損失 | 26% |
| 侵入された場合の復旧費用 | 26% |
| 収益/収入の損失 | 24% |
| 市場評価の損失 | 20% |
| インパクトはない | 14% |
今回の調査はさまざまな業種のさまざまな規模の企業や組織を対象としており、世の中全体の「平均」を概観するにはよいのですが、現実にはインサイダーによる脅威の具体的な内容や深刻度、対策(にかけられるコスト)などは業種や規模などによって異なるので、今回の調査結果をそのまま自組織と比較するのは必ずしも適切とは言えません。また、調査対象について具体的にどこの企業や組織かは明記されていないので断言はできませんが、おそらく米国ですので、今回の調査結果が日本の企業や組織にそのまま当てはまるとは限らないことにも注意が必要です。それでも、調査結果の数字そのものではなく、調査項目や回答内容(項目)に着目し、それぞれの調査項目に対して自組織であればどのように回答するかを考えることで、少し違った視点で自組織の現状を整理し、確認するといった活用方法はあるでしょう。
今回の報告書は全体で二十数ページですが、そのほとんどが図表で占められており、簡単に内容を把握できるようにまとめられています。今回紹介しなかった項目もありますので、興味のある方は、まずは一読をお勧めします。
URL
- Cybersecurity Insiders
2020 Insider Threat Report - https://www.cybersecurity-insiders.com/portfolio/2020-insider-threat-report-gurucul/
- Gurucul
Cybersecurity Insiders Insider Threat Survey Report 2020 - https://gurucul.com/2020-insider-threat-survey-report
- Gurucul Blog(2019年11月14日)
The 2020 Insider Threat Report is Here - https://gurucul.com/blog/2020-insider-threat-report
- Malwarebytes Labs(2019年12月5日)
Report: Organizations remain vulnerable to increasing insider threats - https://blog.malwarebytes.com/awareness/2019/12/report-organizations-remain-vulnerable-to-increasing-insider-threats/
- マイナビニュース(2019年12月9日付記事)
サイバー脅威、本当に恐いのはインサイダーの犯行 - https://news.mynavi.jp/article/20191209-933984/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。