内部セキュリティ不正対策に関する3つのポイントGartner Insights Pickup(139)

綿密なインシデントレスポンス対策を講じている企業でも、内部のセキュリティ脅威への十分な対応をしているケースは少ない。CISO(最高情報セキュリティ責任者)は、従業員の不注意または悪意によるリスキーな行動を防止、阻止する対策を講じる必要がある。

» 2019年12月27日 05時00分 公開
[Manasi Sakpal, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 2019年7月、グローバルホテルチェーンのMarriott Internationalは、英国で1億2300万ドルの罰金を科された。3億8000万人以上のホテル宿泊客のデータを漏えいしたからだ。このインシデントは、モニタリングの甘さと従業員の怠慢に原因があると考えられている。いずれも、ITシステムが内部のセキュリティ脅威から保護されていれば、完全に防げた問題だ。

 成熟した企業は一般的なセキュリティ事象の発生に備えて、インシデントレスポンス計画および手順を明確に定義している。だが、内部セキュリティ脅威をどう軽減し、どう対応するかを的確に理解する取り組みをしている企業はほとんどない。そのため、内部脅威対策はCISO(最高情報セキュリティ責任者)にとって最も重大な課題の一つとなっている。

 「内部脅威は、現実に存在する問題だ。インシデントレスポンス計画を策定する際、CISOは内部脅威も考慮しなければならない」と、Gartnerのアナリストでシニアディレクターのジョナサン・ケア(Jonathan Care)氏は語る。

 「内部脅威対策は単に製品を展開したり、プロセスを実装したり、ユーザーの意識を高めたりするだけではいけない。内部脅威に対処するには、多面的で総合的なアプローチが必要になる」(ケア氏)

 だが、想定し得るあらゆる内部脅威を考慮してインシデントレスポンスシナリオを作成するのは、1つの企業が投入できる時間やリソースでは不可能だ。代わりに、CISOは3つの重要分野に絞って脅威シナリオを作成するとよい。

  • モニタリングおよび監視機能
  • 自社に固有のプロファイルとペルソナ
  • 過去の内部インシデント

従業員のモニタリングおよび監視機能に投資する

 モニタリングおよび監視機能に投資し、従業員と資産に対する理解を深め、可視性を高める。例えば、データがどのように扱われるかを把握したり、標準ポリシーに従っていない従業員の行動を特定したりできるようにする。こうした投資により、違反の発生時にレスポンスや影響の軽減、リカバリーを効率的に進められる。

 「CISOは、『誰が危険か』『なぜ危険か』『リスキーな行動を引き起こすトリガーは何か』を把握する必要がある」(ケア氏)

 CISOは、従業員とベンダーの身元調査を徹底しデータの異例なやりとりをモニタリングすることで、ユーザーエンティティ行動分析を可視化できる。これは、リスクの原因を理解し、リスク軽減計画を策定する上で重要だ。

プロファイルとペルソナの作成

 インシデントレスポンスシナリオは、リスクの高い行動を取っているユーザーや、グループの異例な挙動を特定するのに役立つユーザープロファイルやペルソナを作成することで、より綿密なものになる。

 シナリオでは、潜在的にリスキーな行動やソリューション、軽減策を対応付ける。こうした行動は組織によって異なるが、一般的なシナリオに含まれる行動としては、許可されていないソフトウェアのインストールやパスワード入力の失敗、他の従業員のアカウントにアクセスしようとする試みなどがある。ユーザープロファイルやペルソナについてより詳細な洞察が得られれば、より的確なシナリオを作成できる可能性がある。

 「コンテキストに沿ったインシデントレスポンスシナリオを作成したら、問題行動が検知されるたびに、特定のユーザーやグループが関与したものかを考慮して、インシデントに昇格するのが妥当かどうかを判断する。このプロセスを繰り返していく」(ケア氏)

過去の脅威インシデントを調査する

 自社で過去に発生した内部脅威インシデントを調査し、それを踏まえて、インシデントレスポンスの準備をチェックし強化する。そのためには、法務および人事部門と協力するとよい。これらの部門は通常、こうしたインシデントを文書化しているからだ。また、過去のインデント後の報告も、調査してシナリオ作成の重要資料として利用できる。

 さらに、過去のインシデントは、ユースケースの解説資料の作成やインシデント管理プロセスの改善(これまで見過ごされてきた行動や挙動を、インシデントの兆候としてチェック対象に加えるなど)に役立つことを覚えておくとよい。

出典:3 Ways to Stop Insider Threats(Smarter with Gartner)

筆者 Manasi Sakpal

Public Relations Manager


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。