従業員によるデータ流出、その対策で大丈夫？ 内部脅威はこう防ぐ：内部脅威に対抗するには【後編】

テレワークなどによって内部脅威によるセキュリティ事故のリスクが高まっている。内部脅威に立ち向かうには、どのような取り組みやツールが有効なのか。要点をまとめた。

[Jerald Murphy，TechTarget]

　組織にとって脅威になるのは、外部からの攻撃だけではない。従業員の悪意によるデータ流出やミスによるセキュリティ事故も想定し、対策を講じることが重要だ。具体的にはどうすればいいのか。内部脅威に対抗するためのノウハウをまとめた。

内部脅威対策に有効な取り組みやツールはこれだ

併せて読みたいお薦め記事

連載：内部脅威に対抗するには

• 前編：死角になりがちな「社内」の脅威　どうやってなくせるのか？

セキュリティに関して「内部」は無視できない

• 「従業員監視ソフトウェア」が使われる“切実な理由”
• 被害に遭った企業がそっと教える「内部脅威対策」でやるべきことはこれだ

　事業内容や業務環境などによって、内部脅威のリスクが違う。医療や金融、ITなど、大量の機密データを扱う業界の組織は特に内部脅威のリスクが大きい。組織の再編や経営陣の交代、リストラといった、大きな変化の最中にある組織も内部脅威について細心の注意を払う必要がある。従業員が安定したビジネス展開や雇用に不安を感じる場合は、データ流出の可能性が高まる。

　テレワークを採用している組織では、内部脅威のリスクがさらに高くなりかねない。社外にいる従業員に対し、システム利用の監視やアクセス制御が難しくなるからだ。内部脅威に立ち向かうには、以下のような手法や技術が有効になる。

• 定期的なモニタリング
  • 内部脅威を把握するには、監視を継続していくことが大切だ。重要なシステムにアクセスする従業員を定期的にモニタリングすることで正常な行動の基準が定まる。そのため、そこから外れた行動を早期に特定できる。

• 機械学習による自動化
  • 自動化ツールを入れれば、内部脅威の捜索を効率化できる。機械学習の利用によって、さまざまなデータを分析し、通常では見逃すような疑わしい行動のパターンを検出できる。異常なアクセスや通信のスキャンといった単純な作業を自動化すれば、セキュリティ担当者はより高度な分析作業に集中できるようになる。
• ユーザー行動の分析
  • 「UEBA」（User and Entity Behavior Analytics：ユーザーおよびエンティティの行動分析）ツールはユーザー行動の異常なパターンを特定して、内部脅威を検知できる。ユーザーごとに通常行動のプロファイルを作成し、行動が基準値から逸脱した際に通知する。
• インシデント対処計画
  • 内部脅威の可能性が検知された場合、組織はインシデント対処計画を踏まえて迅速に対策を講じ、被害を最小限に抑えなければならない。最新の脅威に対処するために、インシデント対処計画は四半期ごとに見直すことが望ましい。インシデント対処計画の定期的な演習も欠かせない。
• チーム間の連携
  • 内部脅威の検知はセキュリティやITのチームだけの責任ではない。人事や法務も内部脅威の検知に関わらなければならない。これらのチームが連携することで、組織全体にわたって兆候を読み取ることができる。

内部脅威を検知するためのツールとは

　内部脅威の検知には、以下のツールが有効だ。

• SIEM
  • 「SIEM」（Security Information and Event Management）ツールはさまざまな情報源からセキュリティ関連のデータを収集・分析する。これによって潜在的な内部脅威が分かる。
• EDRとXDR
  • 「EDR」（Endpoint Detection and Response）は不正なアクセスや異常なネットワーク接続など、内部脅威として疑われる活動をエンドポイントで監視する。「XDR」（Extended Detection and Response）はエンドポイントに限らず、システム全体において内部脅威を検知する。
• DLP
  • 「DLP」（Data Loss Prevention）はデータ損失防止のためのツールだ。機密データの不正な転送を検出し、内部関係者による情報漏えいのリスクを低減できる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。