日曜の夜、上級エンジニアが、通常の更新と思われるものを認証サービスにプッシュします。変更セットは大規模なリファクタリングに埋もれていて、単体テストと統合テストはすべて合格しています。内部には、ハードコードされたバイパストークンを受け入れ、有効な認証情報を内部デバッグストリームに静かに記録する微妙なコードパスが隠されています。翌週、同じエンジニアが、これまで触れたことのない数十のリポジトリをクローンし、管理されていないラップトップに同期し始めます。競合他社に移ることを発表する数日前です。Git の異常なアクセスパターンや異常な認証イベントの急増に誰かが気づく頃には、貴社の至宝のサービスはすでに改ざんされており、あなたのコア IP は流出しています。これは、最も厄介な形でのインサイダーリスクです。正規の ID、使い慣れたツール、適切なコンテキストで確認するまでは普通に見えるアクティビティを使って行われるコードの盗難や改ざんです。
インサイダーリスク お客様のシステム、データ、プロセスに合法的にアクセスできる人々が、意図的であろうとなかろうと、危害を加えるリスクです。インサイダー脅威は、知的財産の盗用、システムの妨害、アクセスの売却など、明らかに敵対的なリスクの一部です。実際の環境では、不注意なミス、侵害されたアイデンティティ、断固とした悪意を持った内部関係者など、あらゆる領域が網羅されています。
構造的には、これは外部の脅威検出とは異なります。外部からの攻撃は通常、信頼境界の外から始まり、脆弱性や設定ミスを通じて内部に侵入します。インサイダーインシデントは、有効なアイデンティティ、承認されたデバイス、Git、Google Workspace、Microsoft 365、Slack、Salesforce、クラウドコンソールなどの認可されたチャネルから始まります。プロトコルレベルでは、トラフィックの多くは通常の業務とまったく同じように見えます。
に関する最近の研究 インサイダーリスクのコスト見積もり 組織あたりの年間平均コストは約1,700万ドルで、記録されているインサイダーインシデントの約4分の3は、明らかに悪意のあるスタッフではなく、過失や裏切りのあるユーザーなど、悪意のない内部者が原因となっています。悪意のある内部関係者や侵害されたアカウントが依然として見出しの大半を占めていますが、日々のコスト曲線は、強力なツールを使ってリスクを伴う意思決定を行う一般の人々の影響を強く受けています。
インサイダーリスクの3つの原型
インサイダーディスカッションのほとんどは、セキュリティチームが本番環境で見ているものとよく一致する 3 つの原型に集約されています。
- ミスをしたり、危険なショートカットをしたりする、不注意または過負荷のユーザー。
- 窃盗、妨害、強要を目的としてアクセスを意図的に悪用する悪意のある内部関係者。
- 外部の攻撃者が正規のアカウントを制御する不正アクセスされたアイデンティティ。
不注意なユーザーや意図しない露出
ザの トヨタ・ティー・コネクト事件は悪質ではないインサイダーリスクの教科書のようなもの。下請け業者がテレマティクスサービスのソースコードの一部を、顧客データサーバーへのハードコードされたアクセスキーを含め、公開の GitHub リポジトリに誤ってプッシュしました。そのキーはほぼ 5 年間公開されたままで、約 30 万人の顧客が影響を受けた可能性があります。エクスプロイトチェーンも新しいマルウェアも存在せず、コードの秘密と、通常の作業をしていると思っていた人の公開リポジトリだけでした。
セキュリティチームも同様のパターンを日常的に見ています。たとえば、エンジニアは利便性のために社内ツールを個人用 GitHub にプッシュしたり、アナリストは機密レポートを個人のクラウドストレージにエクスポートしたり、スタッフは期限に間に合うように未承認の場所にデータをコピーしたりします。
悪意のある内部関係者と報復
スペクトルの反対側には、環境を理解し、その知識を意図的に悪用する内部関係者がいます。つい最近、 CrowdStrikeは、内部関係者が内部システムのスクリーンショットを撮ったことを確認しました そして、それをSSO認証クッキーとともに、テレグラムのScattered Lapsus$ Huntersグループと共有しました。伝えられるところによると、支払いと引き換えに。同社はインシデントを迅速に封じ込めたが、高度な統制を行っているセキュリティベンダーでさえ内部から標的にされる可能性があることをはっきりと認識させてくれた。
ザの ヒューストンの廃棄物管理事例は、オフボーディングの失敗パターンを非常に明確に示しています。解雇された元請負業者が別の契約者になりすましてアクセスを回復させた後、PowerShell スクリプトを実行して約 2,500 のパスワードをリセットしました。この措置により、全米の労働者がロックアウトされ、86万ドル以上の損失が発生したことが記録されています。これは完全に合法的なツールや特権に対する報復的な悪用でした。
内部関係者のように振る舞う侵害されたアイデンティティ
IDが侵害されると、内部者と外部の攻撃者の境界線が曖昧になります。は ポネモンの調査では、頭が良くない内部関係者を明確に追跡しているインサイダーインシデントの主要なカテゴリとして、認証情報が盗まれたり悪用されたりするケースがあります。実際には、これらのアカウントは悪意のある内部関係者とほぼ同じように振る舞います。
攻撃者は、有効な SSO セッションまたは有効な VPN 認証情報を取得すると、Git リポジトリのクローン、Google Drive や SharePoint ファイルの流出、SaaS プラットフォームでの特権アクションの実行、放置されたサービスアカウントのピボットが可能になります。SIEM の観点から見ると、これはログインが成功し、API 呼び出しが許可された一連の状態です。アクティビティを把握する唯一の現実的な方法は、現在のビジネスコンテキストではその ID の行動パターンが間違っていることに気付くことです。
UEBAとアノマリーがインサイダーと格闘する理由
ほとんどのセキュリティアーキテクチャは、悪意のある攻撃者を排除することが第一の目標である外部の脅威に対して最適化され続けています。クエリの実行やファイルのダウンロードなどの通常の作業と悪意のあるアクティビティの違いは、多くの場合、アクションそのものではなく完全に意図的なものにあるため、内部からの脅威は根本的に困難です。この微妙な違いから、SIEMやUEBAツールのような従来のツールは、すべての異常を報告してアナリストを雑音に溺れさせるか、閾値を調整して微妙で低速のデータ盗難を見逃すかのどちらかというトレードオフを強いられています。
エアソックス ツールは、感度に関して妥協する必要をなくすことで、このジレンマを解決します。これらのプラットフォームは、検出レベルでフィルタリングする代わりに、疑わしいシグナルをすべてキャプチャし、フィルタリングされた深い組織的および技術的コンテキストを備えた大規模言語モデル(LLM)に頼ることができます。正当なプロジェクトベースの急増と不正ダウンロードを区別するなど、「何」の背後にある「理由」を瞬時に分析することで、AIは誤検知を積極的にフィルタリングし、実際のリスクを示す説明だけを明らかにすることができます。
UEBA や SIEM の製品では、ログイン場所がおかしいなどの異常を示すことはできますが、一般的に「だから何?」という質問には答えられません。これは、ビジネスやテクノロジーのコンテキストが欠落しているためです。通常、組織図、プロジェクト課題、人事イベントは別々のシステムにあります。つまり、セキュリティチームは、検出された瞬間ではなく、手動による調査中にのみ全体像を確認できるということです。
テレメトリにおけるインサイダーリスクの現れ方
抽象的な原則から実際の制御に移行するには、特定の動作とそれがログにどのように表示されるかを調べることが役立ちます。以下のシナリオは、不注意な、悪意のある、侵害された内部関係者を組み合わせたもので、セキュリティプラットフォームがサポートすべき検出パターンに直接対応しています。
異常なソースコードアクセスとクローニング
退職を計画し、高感度サービスを含め、これまで触れたことのない多くのリポジトリのクローンを作成し始めるエンジニアを考えてみましょう。あるいは、ビルドランナーからの git clone の一括操作のスクリプト作成に使用される、侵害された SSO セッションがあるかもしれません。
テレメトリーでは、単一の ID から、多くの場合、ユーザーの過去の作業セット外のリポジトリへの Git アクセスが急増しています。プロトコルは正常です。パターンはそうではありません。
効果的な検出により、各ユーザーおよびピアグループのベースラインアクセスパターンを動的に学習して、特に機密または制限付きとしてタグ付けされたリポジトリに対する急激な逸脱を特定します。実際のリスクとノイズを区別するために、システムは Git のテクニカルテレメトリと SSO ログからの技術的なテレメトリを重要なビジネスコンテキストと融合させたまとまりのあるインシデントストーリーを構築します。
ドキュメントと SaaS データの一括ダウンロード
営業リーダーが商談履歴全体をエクスポートしたり、財務スタッフが何年にもわたる台帳データを引き出したり、侵害されたアカウントがドライブや SharePoint ファイルを一括ダウンロードしたりすることは、インサイダー調査で頻繁に発生するパターンです。
ログには、一括エクスポート、レポートのダウンロード、管理アクションの SaaS 監査イベントと、ドキュメントへのアクセスと同期アクティビティの突然の急増が組み合わさって表示されます。Google Cloud DLP などのシステムによるデータ分類が行われている場合は、オブジェクトの数だけを数えるのではなく、機密度に基づいてイベントの重み付けを行うことができます。
ノイズと値の違いは通常、ベースラインとコンテキストにあります。優れたプラットフォームとは、四半期末のアクセスが財務部門にとってどのようなものか、退職したエンジニアにとって異常な買いだめがどのようなものかを把握しており、どのオブジェクトが給与計算ファイルなのか、知的財産を多用する設計文書なのかを理解しています。
オフボーディングや組織変更に伴うアクティビティの急増
ヒューストンの請負業者のケースは、オフボーディングスペクトルの一端です。小規模ながらも重大なインシデントの多くは、退職者がひそかに書類を盗んだり、内部転送でレガシーアクセスを維持したり、契約者が契約終了後も長期間ログインし続けたりするケースです。
ここでの重要なシグナルには、退職日や契約終了日などの人事データ、アカウントステータスのアイデンティティーシステム記録、特権アクションやデータアクセスの異常などが含まれます。優れたセキュリティプラットフォームがあれば、企業はコンテキストルールを追加して退職者や異動者を高い感度でマークしたり、移行前後の数週間に発生する異常の優先度を上げたり、推奨される緩和策を講じたりすることができます。
休眠アカウントと権限超過アカウント
休眠中のアカウントやスコープが不十分なアカウントでは、比較的小さな侵害が広範囲の損害につながる可能性があります。典型的な例としては、ほとんど使用されないドメイン全体の権限を持つサービスアカウント、所有者がはっきりしない壊れやすい管理者アカウント、1 つか 2 つの SaaS プラットフォームでまだアクティブなままの元従業員アカウントなどがあります。
IDインベントリ、IAM監査ログ、および権限グラフから、ほとんど何もしないのに幅広い権限を持っているアカウントが明らかになります。これらのアカウントのいずれかが通常とは異なるログイン、新しい場所、または影響の大きいアクションを示し始めると、オペレーターが社内か社外かにかかわらず、インサイダースタイルのインシデントが発生します。
セキュリティプラットフォームは、影響の大きい未使用IDを継続的に公開し、オフボーディングプロセスや権限審査プロセスに組み込み、それらのアカウントからの新しいアクティビティを優先度の高いシグナルとして扱う必要があります。
インサイダー・アウェア・セキュリティのブループリント
インサイダーリスクを検出するセキュリティプラットフォームは、アイデンティティが機密資産と長期的にどのように相互作用するかに焦点を当てる必要があります。
IDプロバイダー、IAMシステム、SaaSプラットフォーム、コラボレーションツール、開発者ツール、そして実用的な場合はエンドポイントとネットワークから関連するテレメトリを取り込みます。目標は、ログを蓄積することではなく、誰が、どこで、どのデータを利用したかを再構築することです。
Google Cloud DLP などのシステムからのデータ分類出力を融合することで、検出のたびに動作とオブジェクトの感度の両方を比較検討できます。
ベースラインとピアグループをファーストクラスのエンティティとして構築し、維持します。これらのベースラインは検出ロジックに直接フィードされます。このシステムでは、上級エンジニアが探索のように新しいコードベースを開発していることと、同じエンジニアが退社前にIPを盗むこと(漏えいのように見える)を区別できます。
どのVPNロケーションが想定されるのか、どの従業員や請負業者がリスクが高いかなど、現地の情報をエンコードするためのコンテキストを追加することができます。
最後に、イベントではなくインシデントに焦点を当てています。大まかな関連性の高いアラートを何十件も提示する代わりに、同じ時間枠で退職したエンジニアが新しいリポジトリのクローンを作成したり、機密文書をダウンロードしたり、アクセス制御を変更したりするなど、アクティビティをまとめて説明的なケースにまとめます。
内部者検知と調査に対するエクサフォースのアプローチ
Exaforceでは、これらはSOCライフサイクル全体をサポートする統合プラットフォーム内の特定の具体的な機能として提供されます。このプラットフォームは、内部脅威だけでなくすべての脅威を正確に検出、トリアージ、コンテキスト化して、状況に応じた対応策を提示します。また、オプションの自動修復機能も用意されているので、わかりやすい指示に従って対処方法を提案できます。
セマンティックコネクションと行動ベースラインに基づく脅威調査結果
Exaforceは、コードの使用状況、SaaSドキュメントへのアクセス、クラウドIAMアクティビティ、管理業務などのドメインにわたるユーザー、アカウント、部門、ピアグループ、および会社全体の行動ベースラインに基づいて脅威調査結果を生成します。誰かが突然、これまで触ったことのないリポジトリを多数複製したり、異常な量の Google Workspace ファイルをダウンロードしたりすると、システムは何百もの個別のアラートの代わりに脅威検出を行います。このベースライン主導型のアプローチは、アナリストが迅速な意思決定を行うために必要なフルコンテキストとともに、本当に疑わしい逸脱を明らかにする一方で、アラートの疲れを劇的に軽減します。
組織固有のコンテキストのビジネスコンテキストルール
Exaforceのビジネスコンテキストルールにより、チームは特定の人物またはチームに関するコンテキストをExabotの調査コンテキストウィンドウに追加できます。たとえば、終了日が近づいている請負業者をより綿密に監視したり、通常とは異なるVPNロケーションからの管理アクションをよりリスクの高いものとして扱ったり、四半期末や有給休暇日などの制裁措置が取られた場合は閾値を緩和したりできます。この柔軟なルールシステムにより、セキュリティチームは長い学習サイクルを待たずに、組織の知識とビジネスロジックを直接検出ロジックにエンコードできます。
自動ノイズリダクションと誤検知抑制
Exaforceの自動ノイズリダクションと誤検知抑制は、ビジネス、技術、歴史に関する深い知識に基づいており、すべてのお客様に合わせてカスタマイズされています。さらに、Exaforce は関連するシグナルを、トリアージとエスカレーションに必要なコンテキストが既に含まれている 1 つのケースにまとめます。相関関係のあるイベントをインテリジェントに集約し、既知の無害なパターンを除外することで、チームは真のリスクを示すごく一部のアラートに調査リソースを集中させることができます。
自動化されたトリガー付き対応アクション
Exaforceを使用すると、セキュリティチームは、即時に実行されるか、承認に向けてエスカレーションされる自動対応アクションと人間がトリガーする対応アクションの両方を通じて、インサイダーリスクインシデントに迅速に対応できます。Exaforceは、退職した従業員が機密リポジトリのクローンを作成していることを検出すると、その行動をユーザーとそのマネージャーに自動的に確認したり、そのアクティビティを要約した定期的なレポートを作成したり、調査を待ってアクセスを一時停止したりできます。人間による判断が必要なシナリオでは、Exaforce はアナリストが推奨アクションを確認してワンクリックで実行できる承認ワークフローをサポートしています。チームは、一般的な内部関係者のシナリオですぐに使えるレスポンスアクションを活用したり、ID プロバイダー、SaaS プラットフォーム、コミュニケーションツール全体で複数段階の対応を調整するカスタムの自動化エージェントワークフローを構築したりできます。
内部脅威調査と脅威ハンティングの簡素化
Exaforceは、データエクスプローラーのBIのようなインターフェイスとExabot Searchの自然言語クエリを通じて内部脅威の調査を簡素化し、セキュリティアナリストがIDタイムライン、アクセスパターン、および資産関係を迅速に調査できるようにします。最前線のアナリストは、複雑なクエリを書いたり、脅威ハンティングの専門家を待ったりすることなく、潜在的なインサイダーインシデントを即座に調査できます。
未使用または権限超過アカウントの継続的な検出
Exaforceは、未使用のアカウントや権限過剰のアカウントのうち、まだ有効アクセス範囲が広いアカウントを継続的に検出し、内部リスクの検出と、影響範囲を縮小してオフボーディングを強化する修復ワークフローの両方に反映されます。使用頻度の低い認証情報や過剰な権限が悪用される前にそれらを事前に特定することで、組織は攻撃対象領域を縮小し、インシデントを単に検出するのではなく、インシデントを防ぐことができます。
リスクの高いユーザーへのタグ付けによる比例的な監視
Exaforceを使用すると、セキュリティチームは退職する従業員や外部請負業者など、特定のユーザーをリスクの高いユーザーとしてタグ付けできるため、そのアクティビティの機密性が高まります。この追加のコンテキストにより、ナレッジモデルは最も重要な箇所に比例した精査を適用し、幅広いユーザー層からのアラートでアナリストを圧倒することなく、機密性の高いアカウントからの不審な行動をキャッチできます。
SaaS プラットフォームからのネイティブコンテキストの活用
Exaforceは、Google Workspaceなどのシステムからのネイティブデータ分類ラベルを統合し、既存のセンシティビティマーカーを自動的に取り込みます。これらのラベルにより、対象となるファイルや資産に機密データや PII データなどの機密情報が含まれているかどうかが検出とリスクスコアに常に反映されます。Exaforce は既存のデータ分類システムと直接統合することで、重複したラベル付けをする必要がなくなり、リスク評価にすべての資産の真のビジネス価値と機密性が自動的に反映されるようになります。
SaaS、クラウド、アイデンティティ、AI プラットフォームにわたる包括的なデータソースに対応
Exaforceは、グーグルワークスペース、マイクロソフト365、スラック、GitHub、GitLab、セールスフォース、Okta、AWS、Azure、GCP、OpenAI、その他数十のSaaS、アイデンティティ、クラウドサービスなど、あらゆる種類の最新のエンタープライズプラットフォームからテレメトリを取り込みます。このように対象範囲が広いため、インサイダーリスクの検出は、断片化されたツールスタックで発生する重要なアクティビティを見逃すことがなくなり、プラットフォームは、IDが運用され、機密データが存在するすべてのシステムにおける疑わしい行動を相互に関連付けることができます。
セキュリティ規律としてのインサイダーリスク
インサイダーリスクは、セキュリティ計画におけるエッジケースから、業務上の中心的な懸念事項へと変化しています。組織あたり年間1,700万ドルに上り、インシデントの4分の3は悪意のない行為によるもので、この脅威は高価でいたるところに蔓延しています。現在、正規の資格情報はすべてクラウド環境、SaaS プラットフォーム、コードリポジトリへのアクセスを制御しており、これを誤って扱うとビジネスに支障をきたすおそれがあります。そのため、意図的な妨害行為だけでなく、一般社員がミスを犯すことも大きな課題となっています。
インサイダーリスクを第一級の規律として扱うということは、クロスファンクショナル・プログラムとコンテクスト・リッチ・プラットフォームの両方に投資することを意味します。このプログラムは、組織における容認できない行動とはどのようなものか、モニタリングを効果的に両立させる方法、シグナルが出た際の対応方法を定義します。このプラットフォームでは、テレメトリ、分類、ベースライン、ビジネスコンテキストが提供されるため、これらのシグナルを早期に確認して一貫した行動をとることができます。そこで、従来のセキュリティツールから AI 搭載プラットフォームへの抜本的な移行が重要になります。従来のSIEMやUEBAでは、四半期末のレポートを作成する財務アナリストと、退社前に顧客データを抽出する同じアナリストとの区別がつかない。Exaforceは、コンテキストをファーストクラスの機能として扱い、行動ベースラインをビジネスコンテキストルールおよびデータ分類と融合させて、技術的な異常だけを見るツールでは見えないインサイダーリスクパターンを正確に検出することで、この課題に対処しています。
最もうまくいく企業は、インサイダーの可視性と記憶力の構築を今すぐ始めている企業です。ただし、選択は依然として任意であり、大きなインシデントによって決定されることはありません。インサイダーは、不注意だったり、侵害されたり、悪意があったりしても、常に貴社の貴重なシステムやデータにアクセスしています。セキュリティリーダーとリスクリーダーが直面する問題は、通常のアクセスが普通ではなくなり、実際のリスクに見え始める瞬間を組織が認識できるかどうか、そしてそれを大規模に区別できるプラットフォームがあるかどうかです。
