セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが Rockwell Automation の副社長兼最高情報セキュリティ責任者であるDawn Cappelliと対談しています。このブログ投稿で、Dawn は、サイバーセキュリティ計画にインサイダー リスクを含めることの重要性について語っています。
ナタリア: 組織がインサイダー リスクに対処する際に直面する最大の障壁は何ですか?
Dawn:最大の障壁は、 インサイダー リスクに注意を向けることです。コロニアル パイプラインをダウンさせたランサムウェア グループについて耳にしました。組織の知的財産 (IP) を危険にさらすランサムウェア攻撃について耳にします。内部関係者による脅威についてはあまり耳にしません。エドワード・スノーデン以来、大きなインサイダー脅威事件は発生していません。しかし、内部関係者による脅威が発生していることは保証します。知的財産が盗まれ、システムが破壊されています。問題は、それらが検出されているかどうかです。企業は監視していますか?
ナタリア: インサイダー リスク プログラムの成功をどのように評価しますか?
Dawn:まず、重要なケースによって成功を測定します。たとえば、会社を辞めて競合他社に行く人がいて、彼らが機密情報をコピーしているのを見つけて、彼らが明らかに持ち出したいと思っているのを見つけて、それを取り戻します。
次に、チームの生産性を見て成功を測定します。社内の全員が、疑わしいアクティビティや異常なアクティビティ、および退職などのコンテキスト データに基づいてリスク スコアを取得します。毎日、リスクが最も高いダッシュボードの上部から始めて、下に向かって作業を進めます。時間を無駄にしていることを意味し、リスクモデルを調整して誤検知を排除する必要があるため、結果が得られないケースの数を調べます。
また、抑止、コミュニケーション、認識に重点を置いているため、ケースの削減にも注目しています。また、ビジネス ユニット別や地域別のケースにも注目しています。特定のビジネス ユニットや従業員の種類、地域、国などを対象に、対象を絞ったキャンペーンやトレーニングを実施し、それらが感染者数の減少に効果があるかどうかを調べます。
ナタリア: 内部の脅威を測定することは、外部の脅威を測定することとどう違うのですか?
Dawn:外部リスクの観点からも、同じことを行う必要があります。外部コントロールが機能しているかどうか、重大な脅威をブロックしているかどうかを確認してください。マイクロソフトのコンピューター セキュリティ インシデント対応チーム (CSIRT) は、封じ込めのタイミングと修復のタイミングも考慮します。また、インサイダーが取得した IP への対応と回復にかかる時間も測定する必要があります。
ところで、「インサイダーの脅威」ではなく「インサイダー リスク」という用語を使用するのが好きです。これは、私たちが検出して対応する疑わしいインサイダー アクティビティのほとんどは、意図的に悪意のあるものではないことがわかっているためです。特に COVID-19 の影響で、コンピューターのバックアップを心配する従業員が増えているため、個人のハード ドライブを取り出してバックアップを作成しています。悪意はありませんが、それでもリスクを修復する必要があります。来週、彼らは競合他社に採用される可能性があり、リムーバブル メディア デバイスや個人のクラウド ストレージに機密情報のコピーが保存されている可能性はありません。
ナタリア: 外部の脅威からの保護と内部関係者のリスクの管理のバランスをどのようにとっていますか?
ドーン:両方を考慮する必要があります。外部の脅威と内部関係者のリスクの脅威モデリングを行い、それに応じてセキュリティ制御の優先順位を付ける必要があります。インサイダーは、外部の攻撃者ができることは何でもできます。最近、誰かがインサイダーに賄賂を渡して、感染した USB ドライブを差し込んでマルウェアを会社のネットワークに入れようとしたり、電子メールの感染した添付ファイルを開いてマルウェアを広めようとしたりする事例がメディアで取り上げられました。外部の攻撃者は、内部関係者を通じて侵入し、やりたいことをはるかに簡単に行うことができます。
セキュリティ プログラムには、米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワーク (CSF) を使用し、それを使用して、外部および内部のセキュリティ リスクを包含する総合的なセキュリティ プログラムを設計しています。たとえば、重要な資産を特定し、インサイダーやサードパーティを含め、誰がそれらにアクセスできるかを特定します。これらの資産を、内部関係者や外部関係者を含む不正アクセスから保護します。内部関係者や外部関係者による異常または疑わしい行動を検出します。すべてのインシデントに対応し、必要に応じて復旧します。インサイダー リスク プログラムにはさまざまなプロセス、チーム、テクノロジがありますが、セキュリティ情報およびイベント管理(SIEM) や Microsoft Office 365 ツールなど、CSIRT と同じツールも多数使用しています。
ナタリア: データ ガバナンスと情報保護のために推奨するベスト プラクティスは何ですか?
Dawn:インサイダーの脅威を IP の観点だけから考えないでください。インサイダーのサイバー妨害の脅威もあります。つまり、インサイダーがハッキング ツールをダウンロードしたり、製品のソース コードを妨害したりするなどの活動を検出して対応する必要があります。
考えてみてください。外部の攻撃者は、ネットワークに侵入し、開発環境がどこにあるかを突き止め、ソース コードや開発環境を侵害するために必要なアクセスを取得し、悪意のあるコードやバックドアを製品に仕掛ける必要があります。これらはすべて、検出されることなく行われます。 .インサイダーは、開発環境がどこにあるかを知っていて、そこにアクセスでき、開発プロセスがどのように機能するかを知っているため、それを行うのははるかに簡単です。
脅威の種類を検討する場合、IP よりもサイバー妨害に注目する必要があるとは言えません。それらに等しく集中する必要があります。軽減策と検出は、IP の盗難と妨害行為で異なります。 IP の盗難については、マルウェアをダウンロードしようとしている人を探しているのではなく、妨害行為については探しています。対応プロセスも脅威ベクトルによって異なります。
ナタリア: インサイダー リスクの管理と削減には、誰がどのように関与する必要がありますか?
Dawn:インサイダー リスク プログラムの所有者が必要です。私の意見では、それは最高情報セキュリティ責任者 (CISO) であるべきです。 HR は仮想インサイダー リスク チームの重要なメンバーです。怒ったり動揺したりするのは従業員であり、人事部の注意を引く傾向があります。 Rockwell HR のすべての従業員は、必須のインサイダー リスク トレーニングを毎年受けているため、注意すべき行動を把握しています。
法務は、チームのもう 1 つの重要なメンバーです。特に世界中のすべてのプライバシー規制に照らして、正当な理由もなく、無作為に人々のコンピューターを盗んでフォレンジックを行うことはできません.インサイダー リスク調査チームは当社の法務部門にあり、法務、人事、およびマネージャーと協力しています。個人情報が関係するケースやヨーロッパでのケースについては、最高プライバシー責任者に相談し、すべてのプライバシー法を遵守していることを確認します。国によっては、労使協議会に行って、従業員を調査していることを知らせる必要もあります。セキュリティ チームは、すべてのコントロール (予防、検出、テクノロジ、およびリスク モデル) を担当します。
ナタリア: データ規制の世界の次は?
Dawn:プライバシーが最大の問題です。ヨーロッパの労使協議会は、より強力になり、より熱心になっています。彼らは仲間の従業員のプライバシーを保護しており、プライバシー レビュー プロセスにより、監視テクノロジの導入がより困難になっています。
現在のサイバー脅威環境では、セキュリティとプライバシーを連携させる方法を考え出す必要があります。ヨーロッパで事業を展開している企業への私のアドバイスは、新しいテクノロジーの購入を考えたらすぐに労使協議会に行くことです。それらをプロセスの一部にし、完全に透明にします。デプロイの準備が整うまでお待ちください。
ナタリア: クラウド コンピューティングや AI などの進歩は、リスクの状況をどのように変えますか?
Dawn:当社にはクラウド環境があり、従業員はそれを使用して製品を開発しています。インサイダー リスク チームは当初から、常に脅威が環境をモデル化するように努めてきました。そのクラウド環境の NIST CSF 全体を調査し、外部と内部の両方のリスクの観点から検討します。
企業は、経験的で客観的なデータを使用して、製品の AI モデルを作成およびトレーニングします。問題は、「意図的にモデルにバイアスをかけたり、AI モデルに悪意のあるものを入れて後でコースから外れさせようとするインサイダーを特定するためのコントロールを持っていますか?」ということになります。どんなタイプの脅威でも、内部関係者がこのタイプの攻撃を助長できるかどうか尋ねてください。インサイダーは、アウトサイダーができることなら何でもできるし、インサイダーはそれをずっと簡単にできる。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments