出典: Henrik5000(iStockより)
14か月、15,000件の法的事例、そして数えきれないほどの夜を経て、マイケル・ロビンソンはインサイダー脅威を1,000件の不正行為に絞り込みました――信頼された従業員が自らのアクセス権を武器に変えた実際のケースです。
「テレビも本も運動もやめました」と彼は言います。「14か月間、インサイダー脅威に関わるすべての事例――コンピュータ悪用、営業秘密の窃盗、スパイ行為――を調べてデータを抽出しました。まるでサイバーセキュリティ版の実録犯罪でした。」
その研究マラソンが、ロビンソンの次回のBlack Hat Europeブリーフィング、「インサイダー脅威の傾向とパターンの理解:1,000件超の事例分析」の基礎となりました。Googleの上級セキュリティアナリストである彼は、インサイダー脅威に関する「不都合な真実」を明らかにすると言います――それは、悪意ある行為者が誰で、いつ、どのように行動するかについての長年の前提を覆すものです。
インサイダー脅威は普遍的なリスクですが、公に議論したがる組織はほとんどありません。
「ランサムウェアや国家による攻撃については情報共有しますが、インサイダーについてはほとんど学びも共有もありません」とロビンソンは言います。「企業はそれを汚点のように扱っています。」
彼の調査はそれを変えることを目指しています。米国84の連邦地区の公開裁判記録から、ロビンソンはインサイダー事件が驚くほど幅広く分布していることを発見しました――IT、金融、製造、政府、医療など75以上の業界に及んでいます。
しかし彼が最も驚いたのは、犯罪がどこで起きたかではなく、誰がそれを行ったかでした。悪意あるインサイダーの4分の1は経営幹部だったのです。
「これらは副社長や社長など、会社で最も価値あるデータへのアクセスを任された上級職の人々でした」と彼は言います。「まるで鶏小屋にキツネを入れているようなものです。」
さらに不穏なのは、約20%が昇進を重ねた高業績の従業員だったことです。
「インサイダー脅威というと、不満を持つ業績不振者を思い浮かべますが、彼らの中にはスター社員もいました。野心と機会があり、それを間違った方向に使ったのです。」
退職後も続く被害
この研究はもう一つの一般的な思い込み――従業員が退職すれば危険も終わる――も打ち砕きます。
「これらのケースのインサイダーの半数以上は自発的に退職していました」とロビンソンは説明します。「解雇されたわけではなく、自分の意思で辞めたのです。しかし多くは退職後に戻ってきて被害を与えました。」
元従業員は、企業が気づいている以上に多くのアクセス権を保持していることが多く、クラウドツール、共有パスワード、リモートアクセスシステムなどが企業のシングルサインオン環境外に存在していました。
「誰かが辞めて、みんなほっとする――『よかった、危機を回避できた』と。でも本当にそうでしょうか?彼らはまだSalesforceやクラウドストレージにアクセスできるかもしれません。」
ロビンソンの分析はまた、インサイダーによるデータ持ち出し手法がますます巧妙化していることも明らかにしました。彼らは複数の手段を使っています。
「メールとクラウド、USBと携帯電話など。ファイルをメールで送り、USBにコピーし、さらに画面を写真に撮るケースも見ました」と彼は言います。「多層的で、検知が飛躍的に難しくなっています。」
共謀が問題をさらに悪化させます。全体の31%のケースで、インサイダーはペアや小グループで行動していました。
「時には『君はこれを、私はあれを』と分担していました」とロビンソンは言います。「複数人に活動を分散させれば、ネットワーク上のノイズに紛れてしまいます。行動分析ツールでも簡単には検知できません。」
「NIMO」思考の打破
ロビンソンが最も苛立ちを感じる進歩への障壁があるとすれば、それは否認です。「組織は『うちの会社には関係ない(NIMO: Not in My Organization)』という思考に陥ります」と彼は言います。「自分たちは人を見る目があると信じています。でも楽観主義ではインサイダーリスクは管理できません。」
彼のセッションは、参加者に前提を見直し、測定可能でデータ駆動型の防御策を採用するよう促します。
「問題解決の第一歩は、自分たちに問題があると認めることです」とロビンソンは言います。「第二歩は、悪意ある行為者が実際にどう動くかを理解することです。」
ロビンソンは、業界がユーザー行動分析やAIに頼りすぎていることに限界を感じています。「昇進すれば行動のベースラインが変わります。共謀が起きれば行動が人々に分散します。そうなるとモデルは機能しなくなる」と彼は言います。
その代わり、彼はより継続的な可視化と長期的なログ保存を提唱します。インサイダーの活動は数か月かけてゆっくり進行することがあるからです。「多くの企業は十分な期間ログを保存していません。データがなければ、何が起きたか調査できません。」
また、ロビンソンは退職手続きを長引かせないよう企業に警告します。「誰かが退職を申し出たら、感謝を伝えて即座にアクセスを切るべきです。1か月間在籍させ続けるのは、リスクの扉を開けたままにすることです。」
最終的にロビンソンの目標は、インサイダー脅威対策を直感からインテリジェンスへと進化させることです。「誰もがインサイダーリスクを理解しているつもりですが、データはそうではないと示しています。私たちは証拠ではなく逸話に基づいて意思決定しているのです。」
ロビンソンの講演は、サイバーセキュリティで最も捉えどころのない問題の一つに対する、貴重な実証的視点を約束します。
「この研究は恐怖を煽るものではありません」と彼は言います。「これは気づきのためのものです。パターンが見えれば、ようやく予測と防止ができるようになるのです。」
彼はこの研究が、外部攻撃と同様にコミュニティが情報をよりオープンに共有するきっかけになることを望んでいます。「会社名や個人名は知らなくてもいい。でもどうやってデータを盗んだのかを教えてくれれば、自分のネットワークでも同じ行動を探すことができます。そうやって、私たちは一緒に強くなれるのです。」
