この記事はもともとTechnology Orgに掲載されたものです。
セキュリティ戦略は外部からの侵入防止に重点が置かれがちですが、実際には最も重要なデータは日々、数千人の正規ユーザーによってアクセスされています。組織がIaaSやSaaSのエコシステムへと分散するにつれ、「外部」と「内部」の境界は曖昧になっています。問題は「すでにログインしているユーザー」にあります。
インサイダーリスクは現実かつ差し迫った脅威ですが、その原因は必ずしも映画で描かれるようなものではありません。企業スパイ活動は存在するものの、大半のインシデントは過失、不適切なアクセス運用、または外部攻撃者が従業員になりすますための認証情報の侵害に起因しています。従来のSIEMや初期世代のUEBAといった監視ツールでは、この変化に対応できていません。これらは静的なルールに依存しており、大量の誤検知を発生させ、セキュリティチームをノイズに埋もれさせる一方で、実際のリスクを見逃してしまいます。IBMの調査によると、2024年には83%の組織がインサイダー攻撃を経験しており、業界全体でインサイダー起因のインシデントがいかに広がっているかが示されています。
知的財産や顧客データを保護するためには、セキュリティチームはコンテキスト認識型AI SOCへの転換が不可欠です。ここでは、インサイダーリスクを再考するための6つの戦略を紹介します。
1.「インサイダー」の再定義(悪意のある従業員だけではない)
多くの組織は、「不満を持つ従業員」に焦点を当てすぎるという誤りを犯します。悪意ある内部関係者は確かに脅威ですが、全体のごく一部に過ぎません。
インサイダーリスクは、以下の3つのカテゴリを含めて定義すべきです:
- 不注意なユーザー: 善意ではあるものの、クラウドストレージの設定ミス、機密文書の不用意な共有(「リンクを知っている人は誰でも」など)、業務優先でのセキュリティ手順の迂回などを行うユーザー
- 侵害されたアカウント: 正規ユーザーの認証情報を乗っ取った外部攻撃者。ルールベースの従来システムでは従業員として扱われるが、行動分析ではアクセスの異常から見分けられる
- サードパーティ: 請負業者、ベンダー、パートナーなど、自社環境にアクセスするが人事管理の対象外の存在
悪意の検知だけに依存していると、実際に多くのデータ侵害を引き起こしている過失や認証情報の窃取を見逃すことになります。
2. コンテキストが最も重要:静的閾値が機能しない理由
「ユーザーが1日に20件のリポジトリをクローンした場合、SOCにアラートを送る」
このような静的な閾値ベースのロジックは、アラート疲れの最大要因です。新規採用のエンジニアにとっては通常業務であっても、コードにほとんど触れないマーケティング担当者にとっては重大な異常となります。
そのため、効果的なセキュリティ分析では単純な件数ではなくコンテキストを優先し、個人・ピアグループ・組織レベルで動的なベースラインを構築する必要があります。ユーザー単位および所属チームの通常行動を理解することで、予測可能で問題のないアクティビティの増加を自動的に除外し、アラート疲れを低減できます。
3. データシグナルに基づく検知(コード、SaaS、DLP)
インサイダーリスクはエンドポイント単体では可視化できません。高信頼度のシグナルは、SaaSアプリケーションやコードリポジトリの内部に存在します。セキュリティチームは、USB使用やマルウェア検知に留まらず、データ持ち出しや破壊行為を示す具体的な操作レベルの可視性を確保する必要があります。例えば、これまで関与していなかったリポジトリの大量クローンや、Google WorkspaceやMicrosoft 365からの機密データ(財務資料、設計書、顧客リストなど)の一括ダウンロードは重要なシグナルです。
検知精度を高めるには、GCPのDLPタグなど既存ソリューションのシグナルを取り込み、アラートの優先度付けに活用します。ただし課題は、新規スプリント対応などの正当な作業増加と、実際の異常を区別することにあります。そのためには、全シグナルを収集・評価し、単純な閾値を超えた実効的な検知を行う必要があります。データ内容とユーザーの役割コンテキストを相関分析することで、通常の業務と実際のリスクを正確に識別できます。
4. クロスファンクショナルなプログラムの構築(人事+セキュリティ)
インサイダーリスクは技術的な問題であると同時に人的な問題でもあるため、セキュリティ部門単独で担うべきものではありません。成熟したインサイダーリスク対策では、法務・人事・財務をワークフローに統合し、ユーザー行動を横断的に可視化します。この連携により、業務コンテキストを考慮したルール設計が可能となり、退職届の提出やPIP(業績改善計画)といったイベントがユーザーのリスクスコアに自動的に反映されます。
例えば、営業責任者による顧客リストのダウンロードは通常業務ですが、直前に退職届が提出されている場合、そのコンテキストによりデータ持ち出し(exfiltration)の高優先度アラートとして扱われます。現代のツールは、こうした非技術的シグナルを取り込み、セキュリティログと相関分析することで検知精度を高める必要があります。これにより、誤検知を抑えつつ、実際のリスクのみを確実に通知できます。
5. 休眠アカウントおよび「偽採用アカウント」への対策
インサイダーリスクで見落とされがちな要素の一つが「ゴーストアカウント」です。企業の成長に伴い、未使用の権限や放置された認証情報といった技術的負債が蓄積されます。特に、適切にオフボーディングされていない退職者や委託先のアカウントは、休眠状態のまま残存し、実環境の攻撃で悪用されやすくなります。これらはシステム上は「正規ユーザー」として扱われるため、侵入検知を回避しつつネットワーク内での横展開に利用されるリスクがあります。
さらに注意すべきなのが、「偽採用」や不正なテストアカウントです。実在しない従業員用に作成されたアカウントや、テスト目的で付与されたアクセス権が未回収のまま残るケースであり、環境内にサイレントなバックドアを生み出します。高度な分析基盤は、未使用の付与権限や休眠アカウントを継続的に特定し、影響範囲(blast radius)を最小化する必要があります。管理者権限の未使用アクセスを可視化し、安全なオフボーディングプロセスを整備することで、組織はインシデント発生前に攻撃対象領域を大幅に削減できます。
6. 今すぐ実行すべき対策
インサイダーリスクに対する防御態勢を即座に強化するには、まず以下の4点を実施してください:
- 特権アクセスの監査: 最も機密性の高い情報(ソースコード、財務データ)にアクセス可能なユーザーを特定し、現在の業務で利用実績がない権限は速やかに剥奪
- アウトバウンドトラフィックの精査: 受信(フィッシング)だけでなく送信データを監視し、小さな異常な外部送信を検知
- 監視範囲の確認: エンドポイントだけでなく、SaaS、メール、コードリポジトリなどの重要環境全体で可視性を確保する。可視化されていない領域は、インサイダーが活動する温床となる。
- Agentic AIの活用: 攻撃者はレガシーなルールベース検知を回避することを前提としているため、シグネチャベースではなく、行動の意図や意味を捉えるAI検知へ移行する。
マルチモデルAIアプローチ
UEBAや汎用LLMのみに依存する時代は終わりつつあります。UEBAはノイズが多すぎ、汎用LLMはハルシネーションを起こしたり、深いセキュリティコンテキストを欠いたりすることがあります。
これからのインサイダーリスク管理は、マルチモデルAIアプローチにあります。これは、セマンティック分析(データの内容と関連性を理解する)、行動分析(誰がそのデータにアクセスしており、その行動が通常どおりかを把握する)、専用LLM(状況を整理し、推奨事項を提示する)を組み合わせるものです。これらの技術を重ね合わせることで、セキュリティリーダーは不注意な行動によるノイズを除外し、侵害の阻止に注力できるようになります。
