インサイダー脅威が再び高まる

インサイダー脅威が重大な形で再度現れています。

Mimecast の人的リスクの状態に関するレポートによると、42% の組織が過去1年間にわたって悪意あるインサイダーインシデントの増加を経験しており、42% は初めて過失インシデントの増加を報告しています。

レポートはさらに、組織が月平均6件のインサイダー主導インシデントを経験し、1インシデントあたり推定1,310万ドルのコストがかかることを発見しました。さらに、調査対象の2,500人のITセキュリティおよびIT意思決定者の66%は、今後12ヶ月でインサイダー関連のデータ損失が増加すると予想しています。

「インサイダーリスクは、引き起こされるデータ損失だけでなく、攻撃者がインサイダーを周辺防御を完全に回避するための意図的なエントリーポイントとしてますます悪用しているために、今日の組織が直面する最も重大で過小評価されている脅威の1つになっています」とMimecast CISOのレスリー・ニールセンが同社の研究成果を発表する際に述べました。

「データは、不注意な誤りと意図的な行為がインシデントを同等に引き起こしていることを示しています」と彼は付け加えました。「組織は人的行動の管理を試みるのではなく、高リスクのアクションを識別し、リアルタイムで保護を調整し、有効な認証情報を持っているかどうかに関係なく、アクセスすべきではないデータにアクセスする際に摩擦を生成する適応型制御が必要です。AIがインサイダーによる大規模なデータ流出を容易にするため、セキュリティはリスクのポイントでユーザーに対応しなければなりません。」

テクノロジー、戦術、および動機が進化するにつれて、今日のインサイダー脅威の状態

インサイダー脅威は引き続き2つの大きなカテゴリーに分かれています。一方の側には、害を与える意図を持って意識的に行動する悪意あるインサイダーがいます。もう一方の側には、その影響を与える行動が偶発的であるか過失であるか、または場合によっては悪意あるアウトサイダーによって操られている組織のメンバーがいます。

フォレスター・リサーチの2025年セキュリティ調査によると、過去12ヶ月間のデータ侵害の22%は内部インシデントの結果でした。47%は悪用または悪意のある意図が原因で、32%は不注意による悪用または事故が原因で、21%は両方を含んでいました。

フォレスターの副社長兼研究ディレクターであるジョセフ・ブランケンシップは、これらのカテゴリーは幅広い活動をカバーしていると述べています。例えば、悪意がないインサイダーは、保護されたデータを許可されていない人に誤ってメール送信したり、データベースへのパブリックアクセスを誤って許可したりする可能性があります。不満を持つ従業員は、セキュリティ管理を積極的に回避して、機密情報を盗んで組織を恥ずかしめるために投稿する可能性があります。

これらのシナリオは何年も前から存在していますが、インサイダーを駆動、操作、および可能にするための新しいテクノロジー、戦術、および動機が進化していると、セキュリティリーダーは述べています。

「私の背景はインテリジェンスコミュニティにあり、私たちはエゴ、イデオロジー、経済という確立された観点からインサイダー脅威を研究していました。これらの動機は変わっていません。変わったのは、動作環境とインサイダーとしての資格のあるもの/人です」とSANS InstituteのフィールドCISO兼AI セキュリティ副社長のクリス・コクランは述べています。

「もはや単なる従業員ではなくなりました。それは契約者、身元詐欺を通じてアクセスを得た不正な雇用者、そして現在は継続的で特権的なアクセス権を持つAIエージェントです」と彼は言っています。「設定ミスのあるエージェントは決して眠らないスーパーユーザーです。侵害されたエージェントは、マシンの速度で動く正当な認証情報を持つ敵です。信頼できるアクセス権を持ち、データに対して行動できれば、意識的であるか無意識であるかに関わらず、それはインサイダーです。」

リモートワークへのシフトは、インサイダーリスクに対する物理的および心理的な障壁も取り除いたと、コクランは付け加えています。「個人デバイスへのデータダウンロードはスパイ活動のように感じられず、その軽視がリスクです」と彼は言っています。「経済的プレッシャーを重ねます。企業が採用を凍結し、昇給を抑制している間、大規模な意識的なインサイダー脅威のレシピがあります。」

ニール・ハーパー、Octave Digitalのエグゼクティブコーチおよび戦略アドバイザーであり、ガバナンス協会ISACAのボードメンバーは、ソーシャルメディアの成長を今日のインサイダー脅威を促進するもう1つの要因として指摘しています。

ソーシャルメディアプラットフォームは、外部の脅威アクターにインサイダーを賄賂、だまし、または誘い込むために使用できる情報を提供していると、彼は言っています。「それらは脅威アクターに情報の宝庫を提供し、脅威の集合体は、誰が恐喝または傭兵になりやすいのかを理解するのに役立つオープンソースインテリジェンスを簡単に実行できます」と彼は説明しています。

そのようなインシデントでは、ブランケンシップは悪意あるアクターがセキュリティ管理を回避して検出を回避する方法についてインサイダーをコーチすることが多いと述べています。

今日の従業員はより技術に精通しており、AIを含む強力なデジタルツールへのアクセスがより大きいため、セキュリティ管理を回避する方法を見つけるのがより能力があると、専門家は述べています。

「平均的なスタッフは今、本当に高リスクの脅威アクターになることができます」とハーパーは述べています。彼はまた、Hugoの最高信頼責任者であり、国際警察機関インターポールを含む元CISOです。

さらに、AI自体はインサイダー脅威になる可能性があると、ハーパーは付け加え、エージェントが暴走したり、そうするようにプログラムされたりする可能性があることを説明しています。「したがって、AIはインサイダー脅威に関するパラダイムを変えました」と彼は付け加えています。

一方、現代の職場環境はインサイダー脅威リスクを増加させる新しいシナリオを作成したと、ハーパーは述べています。

例えば、契約者およびアウトソースプロバイダーの使用の増加、および複数の職業に従事する人々は、悪意あるおよび悪意がないインシデントの両方の機会を増やす可能性があり、リモートワークと同様に、そのような労働者のデジタルアクセスの分散的性質の一部の原因になると、彼は述べています。

企業に対するハクティビズム、分極、イデオロギー的分裂、経済的プレッシャー、および仕事を失う懸念も、今日のインサイダーリスクを高めていると、ハーパーは付け加えています。

Health-ISACのCSO、エロル・ワイスは、これらの動力学のいくつかが悪意あるアクターが企業内で仕事をして、その後インサイダー脅威になることを可能にしたと述べています。これらの悪意あるアクター、北朝鮮からのものが多い、通常はITの正当な役割で雇用されるように、彼らのアイデンティティと場所を難読化します。一般的なMOは、雇用主が本当のアイデンティティを明かすときに何らかの攻撃を仕掛けるための準備をしている間、できるだけ長く働いて北朝鮮に送金を稼ぐことです。「彼らは、データを盗むか、自分の出口で雇用主を脅迫することで、彼らの出口を収益化しています」とワイスは説明しています。

さらに、脅威アクターはインサイダーに彼ら自身の汚い仕事をさせる試みがますます積極的になっていると、Optiv CanadaのCISO事務局のエグゼクティブディレクター、リナ・ダビットは述べています。彼らは対象となった個人を嫌がらせたり、個人的なメールや家族の名前などの個人情報を提供する意思のある人々に報酬を支払っています。そして、彼らはロマンス詐欺などのハニーポットを設置して、インサイダーに対するレバレッジを得ています。

「私たちは常に悪意あるインサイダーを持っていましたが、今は強制されたインサイダーがいます」とダビットは述べています。「脅威アクターが誰かの家や誰かの子供の学校に現れるのは時間の問題だと思います。」

同時に、テクノロジーはそのような不法活動を容易にしたと、彼女および他の人々は述べています。脅威アクターがソーシャルメディアおよび他のオンラインソースを使用してインサイダーを誘い込みまたは強制するために使用できるデータを削除することに加えて、彼らはまた、ダークウェブを使用してインサイダーと接続して支援する意思があります。2026年Accentureサイバーインテリジェンスエグゼクティブサマリー、「ダークウェブが有効にしたインサイダーリスクの上昇」というタイトルで、2024年と比較して2025年にハッカーにアクセスを提供するインサイダーの69%増加と、2022年と比較してハッカーのインサイダー採用の127%急増を強調しました。

「世界は今までになく異なり、より危険です」と、カナダ王妃警察のサイバー犯罪調査チームの元ユニット指揮官であるダビットは警告しています。「脅威アクターグループが国家、組織犯罪、ハクティビズムなどのような整然とした小さなボックスに適合すると仮定しないでください。国家と組織的な脅威グループ間の協力は、意図的であるか単に日和見的であるかに関わらず、起こっており、組織犯罪、国家、ハクティビズムの間にぼやけがあります。新しいグループは評判の規範に従わず、脅威環境は禁止事項なしのアプローチになり、テーブルの外に何もありません。」

プロアクティブディフェンスへのシフト

組織はインサイダー脅威を警戒する必要があります。ダビットと他の人々は助言します。

「そして、それを探すためのメカニズムが必要です」とブランケンシップは述べています。インサイダー脅威を示す可能性があるデータとシステムへのアクセスの異常な、または不正な試みなどの動作を検出できるさまざまなセキュリティテクノロジーを強調しています。もちろん、これらは今日標準と考えられるすべてのセキュリティおよびデータ保護管理に加えてです。彼は付け加えています。

ダビットはまた、セキュリティリーダーに、インサイダーが不注意または悪意をもって害を与えていることを疑ったり、捕まえたりした場合に対応する方法について計画を立てるようにアドバイスしています。

そして、彼はCISOs に、最高法務責任者とHR責任者と協力して、解雇されようとしている者や不満を持つ者など、インサイダー脅威になる可能性のある従業員を特定するようにアドバイスしています。

ハーパーは、定期的な従業員バックグラウンドチェックを推奨しており、機密情報またはシステムへのアクセス権を持つ経営幹部および労働者に対してはより厳格なものを推奨しています。

コクランは、ほとんどのセキュリティチームが今日存在するインサイダー脅威に対応するために実行する必要のある作業があると述べています。

「私が話す多くのCISO が、深刻な損害が発生する前にインサイダー脅威を検出できることに非常に自信を持っていない」と彼は言っています。「変わる必要があるのは、反応的で技術的に焦点を当てたプログラムから、行動信号と技術テレメトリーを融合させた統合されたプログラムへのシフトであり、重要なことに、組織は人間の従業員に適用するのと同じ厳密さで、非人間/エージェント的アイデンティティにインサイダーリスクフレームワークを拡張する必要があります。」