この記事は元々掲載されました テクノロジー組織。
多くの場合、セキュリティ戦略では外部からの侵入を防ぐことに重点が置かれていますが、最も重要なデータには毎日何千人もの正当なユーザーがアクセスしています。組織が IaaS と SaaS のエコシステムに分散するにつれて、「アウトサイダー」と「インサイダー」の区別が曖昧になります。脅威となるのは、多くの場合、すでにログインしているユーザーに関するものです。
インサイダーリスクは現実的かつ現在の危険ですが、必ずしも映画で描かれているような理由によるものではありません。企業スパイ活動は存在しますが、インサイダーインシデントの大半は、過失、ずさんなアクセス習慣、または外部の攻撃者を従業員として見せかける認証情報の漏洩が原因です。従来のSIEMや第1世代のUEBAなどの従来の監視ツールは追いつくのに苦労しています。こうした手法は、誤検出の波を巻き起こす静的なルールに頼っているため、実際のリスクがすり抜ける一方で、セキュリティチームは雑音の中に埋もれてしまいます。 IBMの調査によると、83% の組織が2024年にインサイダー攻撃を報告しており、インサイダー主導のインシデントが業界全体でどれほど蔓延しているかを浮き彫りにしています。
今日、知的財産と顧客データを保護するために、セキュリティチームは以下に向けて方向転換する必要があります コンテキストアウェア型 AI SOC アプローチ。ここでは、インサイダーリスクを再考するための6つの主要戦略をご紹介します。
1。「インサイダー」の再定義(悪質な従業員だけではない)
リスクプログラムを構築する際、多くの組織は「不満を抱いている従業員」に焦点を絞るという間違いを犯します。悪意のある内部関係者は有効な脅威ベクトルですが、インシデントは少数派です。
インサイダーリスクの定義を改善するには、次の3つの異なるカテゴリーを含める必要があります。
- 不注意なユーザー: 善意の従業員は、クラウドストレージバケットの設定を間違えたり、機密文書を「リンクを知っている人なら誰でも」と共有したり、セキュリティプロトコルを迂回して「仕事を終わらせる」ことができます。
- 侵害されたアカウント: 正当なユーザーの認証情報をハイジャックした外部の攻撃者。従来のルールベースのシステムでは、これは従業員のように見えます。行動ベースのインサイダーリスク検出では、データへのアクセス方法の微妙な異常から真実が明らかになります。
- サードパーティ: お客様の環境へのアクセスを必要とするが、人事部門が直接管理できない請負業者、ベンダー、エコシステムパートナー。
御社の検知技術が悪意のみを探しているのであれば、実際にデータ侵害の最大の原因となっている過失や資格情報の盗難を見逃すことになります。
2。コンテキストが重要:静的閾値ではうまくいかない理由
「ユーザが 1 日に 20 個のリポジトリのクローンを作成した場合は、SOC に通知してください。」
この種の静的な閾値ベースのロジックは、アラート疲れの主な原因です。新入社員のエンジニアにとって、20 個のリポジトリのクローン作成は 2 日目です。コードに触れることがほとんどないマーケティングマネージャーにとって、これは重大な異常です。
したがって、効果的なセキュリティ分析では、個人、ピアグループ、組織レベルで動的なベースラインを構築することにより、単純なカウントよりもコンテキストを優先する必要があります。特定のユーザー、そのチーム、そして会社全体にとって何が正常かを理解することで、システムは予測可能で無害なアクティビティの急増を自動的に抑制し、内部脅威プログラムにおけるアラート疲れを軽減できます。
3。データシグナル (コード、SaaS、DLP) をフォローしてください
インサイダーリスクがエンドポイントだけで明らかになることはめったにありません。多くの場合、最も忠実度の高いシグナルは、SaaS アプリケーションやコードリポジトリの奥深くにあります。セキュリティチームは、USB の使用状況やマルウェアを監視するだけではなく、データの流出や妨害行為を示す特定のアクションを詳細に把握する必要があります。たとえば、コードベースに触れたことのない開発者が複数のリポジトリを突然複製したことや、Google Workspace や Microsoft 365 などの生産性向上スイートから、財務ワークブック、設計文書、顧客リストなどの機密性の高いアーティファクトが大量にダウンロードされたことが重要なシグナルとなる場合があります。
正確性を高めるために、優れた検出ではGoogleのネイティブGCP DLPタグなどの既存のソリューションからのシグナルを活用してアラートに重みを持たせます。ただし、課題となるのは、開発者が新しいスプリントのためにコードを引っ張るような、正当な「急増」作業と、真の異常作業とを区別することです。そのためには、すべてのシグナルを取り入れながら戦略的に評価し、単純な閾値を超える実際の検出を見つける必要があります。データの内容をユーザーの役割のコンテキストと相関させることで、セキュリティチームは、過去のパターンからの逸脱が単なる忙しい仕事ではなく、実際のリスクを表している場合を正確に特定できます。
4。クロスファンクショナルプログラム (HR + セキュリティ) の構築
インサイダーリスクは、単なる技術的な問題ではなく、人間の問題でもあります。そのため、セキュリティチームが単独で「所有」することはできません。最も成熟したインサイダーリスクプログラムは、ユーザーの行動を全体的に把握するために、法務、人事、財務をワークフローに積極的に組み込んでいます。このコラボレーションにより、従業員が辞表を提出したり、業績改善計画(PIP)の対象になったりする従業員などのデータポイントが、そのユーザーのアカウントのリスクスコアを微妙かつ自動的に調整できる、ビジネスコンテキストを考慮したルールが可能になります。
たとえば、営業部長がクライアントリスト全体をダウンロードしたとします。このような行動は、まったくない状況下では、その役割に求められる標準的な行動です。しかし、同じ営業部長が昨日辞表を提出した場合、状況は一変し、日常的なアクションが優先度の高いデータ漏洩アラートに変わります。最新のツールは、こうした技術的でないシグナルを取り込んで検出精度を向上させることができなければなりません。これにより、誤検知によって殺到したり、人事イベントをセキュリティログと関連付けるために手動による介入を必要としたりすることなく、セキュリティチームが実際のリスクについて確実に警告を受けられるようにする必要があります。
5。休眠アカウントや「偽採用」に注意
インサイダーリスクで最も見過ごされがちな側面の1つは、「ゴースト」アカウントです。企業が成長するにつれ、権限が未使用になったり、ユーザー認証情報を忘れたりするという形で、技術的負債が必ず蓄積されます。現実世界の攻撃では、これらの脆弱性が悪用されることがよくあります。特に、休眠中のアカウント、元従業員や請負業者の古いプロフィールが、完全にオフボーディングされたことがない場合は特にそうです。これらのアカウントはシステムの歴史上「有効な」ユーザーのものであるため、標準的な侵入アラームをトリガーせずにネットワーク内を横方向に移動しようとする攻撃者の主な標的になります。
もうひとつ微妙ではあるが危険なベクトルとして、「偽雇用」や違法なテストアカウントがあります。このような状況は、実在しない従業員のためにアカウントが作成されたり、テスト目的で一時的なアクセス権限が提供されたが取り消されることはなく、環境へのサイレントバックドアが残っている場合です。強固な分析プラットフォームでは、こうした未使用の資格や休眠アカウントを事前に特定して、攻撃範囲を制限する必要があります。管理者アカウントの未使用の権限を明らかにし、安全なオフボーディングワークフローをサポートすることで、組織はインシデントが発生する前に攻撃対象領域を大幅に減らすことができます。
6。即時行動:今すべきこと
インサイダーリスクに対する態勢を早急に強化したい場合は、次の4つのステップから始めてください。
- 特権アクセスの監査: 最も機密性の高いIP(ソースコード、財務データ)を誰が閲覧できるかをすぐに確認できます。「権限を使用しない」で示されているように、現在の役割に必要でない場合は、権限を取り消してください。
- アウトバウンドフローの精査: 何が来るのか見てはいけない に (フィッシング); どうなるか見てみよう アウト。アウトバウンドのデータフローに小さな異常があると、最大の裏切りが露呈することがよくあります。
- カバレッジを確認: エンドポイントだけでなく、SaaS、電子メール、コードリポジトリなど、主要な環境全体を可視化できます。死角とは、内部関係者が活動する場所です。
- エージェンシー AI の活用: 攻撃者はレガシールールの仕組みを知っていて、それを回避しようとしていると仮定します。以下を検索する AI 検出を使用してください。 意図 そして 意味論 既知の攻撃シグネチャを照合するだけではなく、挙動についてです。
マルチモデルアプローチ
UEBA または一般的な大規模言語モデル (LLM) のみに依存する時代は終わりつつあります。UEBA はノイズが多すぎます。ジェネリック LLM は幻覚を起こしたり、詳細なセキュリティコンテキストを欠いたりすることがよくあります。
インサイダーリスク管理の未来は、マルチモデルAIアプローチにあります。これはセマンティック分析 (理解) を組み合わせたものです。 何 データのあり方と結びつき)、行動分析 (理解) 誰 実際に触れてみて、相手が正常に振る舞っているかどうか)、専門のLLM(ナラティブを統合して推薦する)もします。これらのテクノロジーを階層化することで、セキュリティリーダーはついに不注意な人々のノイズを排除し、妥協を阻止することにエネルギーを集中させることができます。
