情報漏洩事件は後を絶ちませんが、数百万件、数千万件規模の大規模な事故となると、退職した社員や委託先の派遣社員など内部関係者の不正によるものが多くを占めます。内部の関係者ならば、外部からでは突き止めにくい重要な情報のありかを知っていますし、管理や編集などの権限を与えられている場合も多いからです。
内部不正はなぜ起きるのか、そして深刻なダメージを防ぐにはどんなポイントに考慮すべきかを、事例を基に考えてみましょう。
情報漏洩事件の大半は内部関係者が関与
情報漏洩というと、悪意を持ったサイバー攻撃者がシステムに侵入して情報を持ち去るような、外部の脅威によるものが主と思われがちです。しかし実は、関係者による内部脅威が、外部脅威以上に深刻になっています。
ベライゾンが毎年、情報漏洩事件やヒアリングを基にまとめているレポートの最新版「DBIR 2023」によると、従業員1000名以上の企業で発生した情報漏洩インシデントのうち17%が、内部関係者やパートナーが関わったものでした。また別の調査でも、重大なインシデントのうち半分以上が、内部関係者、あるいは内部・外部の共謀によるもので占められていることが明らかになっています。
こうした傾向は日本でも変わりません。情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査 2020」によると、営業秘密漏洩の経路として最も多かったのは中途退職者で、次に現職従業員の誤操作による漏洩が続いています。外部のサイバー攻撃による情報漏洩は8%に過ぎず、それよりもはるかに多い87.6%が内部関係者による情報漏洩で占められているのです。
-
日本における営業秘密の漏洩ルートを見ると、ほとんどが内部からとなっている
しかも、内部関係者による情報漏洩では、被害件数や損失額も大きくなりがちです。IBM Security Ponemon Instituteの調査によると、一件のインシデントによる平均被害額は約64万6000ドル、日本円にして8000万円を超えています。直接的な損失に加え、業務停止や売り上げ機会の損失、ブランド・信用や株価の低下といった間接的な被害も加えると、莫大な額になるでしょう。
従来の対策では見破るのが難しい内部脅威の問題
この内部脅威、内部関係者による不正は、以下のように、6つのパターンに分けることができます。
-
内部脅威は主に6つのパターンに分けることができる
退職に伴う情報漏洩
大転職時代の到来とともに、これまではあまり転職をしなかった技術系社員の転職が活発化しています。前職の企業の知的財産や営業秘密を「手土産」として転職先に持ち出す例があとを絶ちません。
システム管理者による不正行為
管理者の監査体制が整っておらず、adminユーザーでログオンした人を追跡できなかったり、権限管理が適切に行われておらず、退職後もデータベースなどにアクセスできる状態が悪用され、情報漏洩やシステム消去などを行われてしまったりした事例が国内外で複数発生しています。
委託先からの情報漏洩
業務委託を受けた企業が金銭目的で個人情報を持ち出し、名簿業者に売り付けるようなケースです。他に、個人の研究目的で情報を持ち出し、クラウド上に保存していた例もあります。
職場環境に起因する不正行為
自分の評価・待遇などに不満を抱いて情報を持ち出すケースです。上司・同僚への嫌がらせでデータを削除してしまうケースも報じられています。
ルール不徹底に起因する不正行為
メールの誤送信など、従業員が操作ミスによって情報を漏洩させてしまうケースです。ルールが曖昧だったり、権限管理に不備があったりして、たまたま閲覧できてしまったデータを出来心でつい持ち出してしまった、という場合も含まれます。
なりすましアカウントによる情報窃取
これは純粋な内部不正とは言えないかもしれませんが、サイバー攻撃者がフィッシング詐欺などによってアカウント情報(クレデンシャル)を奪取したり、システムに侵入した後に認証情報にアクセスしたりして、正規のユーザーや管理者のアカウントを乗っ取って不正を働くケースが該当します。
いずれのケースでも、システム側から見れば、あくまで正規のユーザーが操作しているようにしか見えません。したがって、ファイアウォールやアンチウイルスといった、境界防御を中心とする通常の対策だけでは見破るのが困難になります。ゼロトラストセキュリティの柱の一つでもありますが、たとえ正規のユーザーであっても疑い、振る舞いを可視化し、不審な動きがないかをモニタリングしていく、内部脅威に特化した対策が求められます。
視野を広げると、この数年でテレワークやクラウドシフトといったIT環境が大きく変化しただけでなく、社会も激変し、経済安全保障の強化が叫ばれるようになりました。また、コロナ禍も相まって世の中は大量退職時代を迎えつつあります。アメリカでは2022年に離職率が過去最高を記録しており、日本でも正社員の転職率が高い状態が続いています。一方で、プルーフポイントの調査によると、CISOの82%が「退職者が情報漏洩に関わっていた」と回答しています。
-
IT環境の変化からも、社会情勢の変化からも、内部脅威対策は必須のものに
こうした状況を踏まえると、盛んに叫ばれているゼロトラストセキュリティやサプライチェーンリスク対策に加え、内部脅威対策に取り組んでいかなければ、バランスの取れた対策は難しい時代になっていると言えるでしょう。
不正のトライアングルを参考に、リアルタイムで防ぐアプローチを
では、内部脅威に備え、内部不正を止めるには何から着手すればいいのでしょうか。それにはまず、内部不正が起こるメカニズムを理解する必要があります。
内部不正を理解する上でしばしば引用されるのが、ドナルド・クレッシーが提唱した「不正のトライアングル」です。人は「動機」「機会」「正当化」という3つの条件がそろったときに不正行為を働くという理論ですが、逆に言えば、この3つの条件のどれかを満たさない状態を作れば、内部不正は防げることになります。
ただ、実際のところ「動機」をなくすのは難しいでしょう。前述した内部不正の事例を見ても、動機は金銭目的から好奇心、政治的信条までまちまちで、一律に対処するのはほぼ不可能です。したがって、残る機会と正当化のどちらかをなくしていけばいい、ということになります。
「機会」を取り除くアプローチは、具体的にはアクセス管理やモニタリングの強化です。そもそも不正を働く隙をなくし、仮に不正を試みてもすぐに見つかる状態を整えることで、犯行を抑止できます。
「正当化」を取り除くのは、従業員一人一人に対する教育・訓練です。何をやっていけないのか、なぜやってはいけないのかといった事柄を説明し、セキュリティリテラシーやコンプライアンス準拠の意識を高めてもらうことで、正当化の理由を排除できるでしょう。
例えば、金銭目的で情報を持ち出そうと試みた内部関係者がいても、もしリアルタイムにその行動を検知し、「これはポリシーに違反している行為です」と注意喚起を行う仕組みがあれば、その時点で行動を抑えることができたはずです。
それでもなおUSBメモリなどへのコピーを強行しようとした場合は、モニタリングをさらに強化して行動を細かくトレースし、いよいよデータが持ち出されそうになったら遠隔からアプリを停止したり、ユーザーをログオフさせたりするなどの手段があれば、情報流出を水際で、リアルタイムに防ぐことができるでしょう。これは、外部脅威によるなりすましアクセスの場合も同様です。
もちろん、えん罪はあってはなりません。可視化をして疑わしい動きが見られる場合は、スクリーンショットや操作履歴など確実な証拠とともに保全することも、適正な内部調査のポイントです。
こうしてユーザーの振る舞いを見守り、適宜注意喚起を行うことで、うっかりミスや好奇心でルールから逸脱する事態を防ぐことができます。悪意を持った0.01%の社員に抑止をかけ、善良な、けれど時々はミスを犯すこともある残る99.9%の社員を守ることができます。
米国政府は自らの教訓も踏まえてか、外部脅威だけでなく内部脅威への備えを講じることを推奨し、National Insider Threat Task Force(NITTF)から「内部脅威プログラム成熟フレームワーク」を公表しています。このフレームワークは経営層、セキュリティ担当者、そして従業員トレーニングという3つの側面から具体的なアプローチを定義しているため、こうした情報も参考に内部不正対策を進めるべきでしょう。
しばしばサイバーセキュリティの世界では、サイバー攻撃者はシステムの脆弱性ではなく、人の脆弱性を突いてくると言われます。したがって、自社を守るには、そうした攻撃者の考え方を知り、攻撃者目線で考えることが不可欠です。
人の脆弱性には、「これくらいならばばれないだろう」といった出来心なども含まれます。こういった弱い部分があるのもまた人間であることを踏まえ、自社を、そして自社の仲間である社員を守るため、人を起点にしたセキュリティというアプローチで内部脅威に取り組んでいくべきでしょう。
