年初が内部リスクの最盛期となる理由

新年の始まりは新たなスタートを意味するかもしれませんが、セキュリティチームにとっては、内部リスクが高まる時期であることが少なくありません。

従業員が新しい役割へ転職して退職したり、社内チームが再編されたり、別の従業員が次の機会を静かに探し始めたりすることで、人員の移行が加速します。

こうした変化は、アイデンティティ、アクセス、データの統制が慎重に管理されていない場合にセキュリティ上の死角を生み出し得ます。そして攻撃者は、それらを悪用する準備をますます整えています。

「新年は、アクセス、信頼、説明責任をリセットする機会です」と、OptivのCISOであるRob Gregory氏は述べています。

同氏はさらに、「移行期にアイデンティティと内部リスクを先回りして管理する組織は、内部不正と外部からの侵害の双方を防ぐうえで、はるかに有利な立場にあります」と付け加えました。

アイデンティティは新たな境界

内部リスクは、典型的な悪意ある従業員というステレオタイプに限られなくなりました。今日では、アイデンティティが事実上、新たな境界となっています。

サイバー犯罪者は、フィッシング、ソーシャルエンジニアリング、アクセスブローカーを通じて有効な認証情報を積極的に狙い、それを用いて信頼された内部者になりすまします。

休眠アカウント、過剰権限のユーザー、古い権限設定は、これらの攻撃の理想的な足場となり、攻撃者が従来の防御を完全に回避できるようにします。

年初はこのリスクを増幅させます。年末に退職した従業員が意図したより長くアクセスを保持してしまうことがある一方で、社内の役割変更により、ユーザーが時間の経過とともに権限を積み上げてしまうことがあります。

一貫した監督がなければ、組織は、攻撃者が弱点を積極的に探している時期に、意図せず攻撃対象領域を拡大してしまいます。

内部リスクのよくある例は、プロビジョニング解除（権限剥奪）の遅れです。従業員が12月31日に退職したにもかかわらず、アクセスが数日後まで完全に取り消されない場合、その認証情報は有効なままで悪用可能です。

悪意がない場合であっても、残存するアクセスは、無関係な手段でその認証情報を入手した外部の攻撃者によって悪用される可能性があります。

役割変更も同様の課題をもたらします。横移動や新しい職務に就いた従業員は、「念のため」として以前の役割のアクセスを保持しがちです。

時間の経過とともに、このアクセスの肥大化は最小権限の原則に反し、機微なシステムやデータが不必要に露出する可能性を高めます。

攻撃者は、正当なユーザーになりすますことで、こうした状況を利用します。

有効な認証情報があれば、ラテラルムーブメントを行い、機微なデータにアクセスし、従来のマルウェアベースの攻撃よりも長く検知を回避できます。

活動が許可されたものに見えるため、重大な被害がすでに発生するまで見過ごされることが少なくありません。

内部リスクを低減するために――特に人員移行の時期には――セキュリティリーダーは、アイデンティティ衛生、可視性、監視、そして文化を組み合わせた取り組みに注力すべきです。

これらの統制を組み合わせることで、アイデンティティガバナンスが強化され、不正利用リスクが低減されます。

年が始まるにあたり、内部リスクは例外的なケースではなく、運用上の確実性として扱うべきです。

この時期を活用してアクセスをリセットし、アイデンティティ統制を強化し、説明責任を徹底する組織は、小さな隙が重大インシデントへ発展する前に、露出を大幅に減らすことができます。

今、先回りしてアイデンティティ衛生を整えることは、信頼が意図的に付与され、アクセスが正当に与えられ、リスクが――引き継がれるのではなく――管理される状態を、この先1年を通じて確保する助けになります。

これらの原則は、暗黙の信頼を排し、アクセスを継続的に検証して内部および認証情報ベースのリスクを抑えるゼロトラストのアプローチと整合します。