これだけたくさんセキュリティ製品が存在するにも関わらず、ぽっかりと穴が空いたように開拓途上の領域が存在する。内部脅威対策もそのひとつだ。 某通信会社の退職者が営業秘密を持ち出して訴訟になるなど、一度起こると被害規模が大きく、とかく世間の耳目を集める内部脅威だが、長らく決定的な対策方法は存在しないと考えられてきた。 近年、それなりの自信と総合力があるところ以外は「ランサムウェア対策」を謳うことが減ったが、内部脅威もそれに似ている。「防げるというから買ったのに防げなかったじゃないか」と、顧客に怒られる可能性があるのだ。 そんな、うっかり足を踏み入れると怪我をしかねない内部脅威対策領域で国際的にリーダーとみなされる米 Proofpoint社の日本法人、日本プルーフポイント株式会社の講演が、9 月 29 日(水)に大阪で、10 月 8 日(金)に東京で行われる。内部対策は企業側にとっても取り扱いが慎重にならざるを得ないテーマだ。まず何から手をつければいいか、ヒントを探すのにピッタリの講演だ。Security Days Fall 2021 大阪9 月 29 日(水)午後 15:15~15:55「内部からの情報漏えいはサイバー攻撃の約10倍 ユーザーの何気ない動作が、企業と日本の未来を左右する」Security Days Fall 2021 東京10 月 8 日(金)午後 12:15~12:55「DX時代の敵の戦術 -大規模ランサムウェア、サプライチェーン攻撃、内部脅威」 Security Days Fall 2021 で行われる大阪と東京の講演に登壇する、日本プルーフポイント株式会社 シニア エバンジェリスト 増田 幸美(そうた ゆきみ)氏によれば、2020 年に日本で発生し検知された営業秘密漏えいの、実に 87.6 %が内部脅威に起因していたという(独立行政法人情報処理推進機構が公表した調査結果を同社が再集計した結果による)。なお、外部からのサイバー攻撃等による漏えいは、8.0 %と内部脅威の 10 分の 1 以下だ。 増田氏は講演で、Proofpoint が定義する内部脅威を、大きく 6 つの類型に分けて解説する。先に挙げた「退職に伴う漏えい」などはすぐに思い浮かぶかもしれないが、専門企業による 6 つの内部脅威の分類を、改めてここで整理して知っておくのは、先々の管理の参考情報となるだろう。 増田氏の講演では、関連するさまざまな脅威やサイバー攻撃事例も解説される。なかでもとりわけ戦慄させられるのは、一般の従業員に向けて内部犯行を積極的に呼びかけた、ランサムウェアギャング団の例だ。とあるランサムウェアの広報サイトに、カタギの従業員に向け、以下の一文ではじまるメッセージが掲載された。「数億円、欲しいですよね? 我々は様々な企業のネットワークへのアクセス権や、企業の貴重なデータを盗むのに有用なインサイダー情報を絶賛募集しています。たとえば、RDP、VPN、企業の電子メールへのログインとパスワードなど、企業へアクセスするためのアカウント情報を、あなたなら提供することができます」(註:英語の原文を編集部が意訳) その後には「メールで我々がランサムウェアを送るので、暗号化したいファイルのある PC でそれを開くように」と「勧誘文」が続く。 こんなメッセージにやすやすと教唆される馬鹿者はまずいないだろう。だが、アルバイト店員等による(悪質ではあるものの)ただの悪ふざけを「バイトテロ」などと呼び、発生のたびに対応に四苦八苦している日本企業にとって、従来の内部脅威・内部犯行対策の考え方を根本から変えざるをえないような嫌な兆しではある。 Proofpoint が行う内部脅威対策の最大の特長のひとつは「VAP」というユーザープロファイルを定義したことだ。攻撃されやすい、あるいは不正を働く可能性の高い人物(VAP:Very Attacked People)を、スコアリングを行って抽出し、その人物に「VIP待遇」ならぬ「VAP待遇」を与え、重点的対策を実施、事故や犯行発生を未然に防ぐ。 ここで、よくある「メール訓練」の成果グラフを思い出して欲しい。時間の経過が横軸に、メール訓練と知らずうっかりクリックしてしまった数を縦軸に設定した棒グラフによれば、ひっかかる人数は訓練を重ねるごとにどんどん減ってはいくものの、ゼロになることは決してなかった。あの「何回やってもひっかかるうっかりさん」が「VAP」の中に含まれる。 こうした層は昔から存在したし、メール訓練提供事業者も認識はしていた。だが、そこに焦点を当てても事業者側はトクがない。またそれは、メール訓練を発注する総務や情シスにとっても同じである。プライバシーマーク更新のための単なるアリバイとして、研修やメール訓練を行うケースも少なくない。 この、決してゼロにはならない棒グラフは、セキュリティ企業とユーザー企業によって「リスクの存在を認知しているにも関わらず戦略的かつ積極的に無視されてきた領域」だった。Proofpoint が現れるまで。 Proofpoint が、これまで積極的に無視されてきた最もネガティブな側面にわざわざ名前をつけて光をあてた。VAP などという対策が難しく正否が鮮明に表れる領域に、自ら歩を進めた Proofpoint には一体どんな勝算があるのか。そもそも Proofpoint はどのように VAP を定義するのか、そのロジックを聞くだけでも、運用の新しいヒントが得られることは間違いないだろう。-- 最後にもうひとつ、登壇者の増田(そうた)氏の個性的な講演スタイルについて言及しておきたい。犯罪者の視点で深く実態に迫ること、そして驚くほどバイネームであること、それが同氏の講演の特徴である。 この手の講演では「海外小売業A社」といった、配慮の上でのイニシャルトークが展開されることも少なくないが、増田氏の今回の講演の準備途中のスライドの一部を取材中に目にした範囲では、たとえばランサムウェアの被害事例として、計 22 社(日本13社、海外9社)の被害企業の会社名とランサムウェア種名がセットで記載されていた。その他、ロシア系ランサムウェアギャングが守る「祖国のための鉄の掟」について説明した、とある関数に関するスライドも目が離せなかった。 資料価値の高いこれら増田氏のスライドを目にするだけでも充分に講演を聞く価値がある。●Security Days Fall 2021 大阪9 月 29 日(水)午後 15:15~15:55「内部からの情報漏えいはサイバー攻撃の約10倍 ユーザーの何気ない動作が、企業と日本の未来を左右する」●Security Days Fall 2021 東京10 月 8 日(金)午後 12:15~12:55「DX時代の敵の戦術 -大規模ランサムウェア、サプライチェーン攻撃、内部脅威」
