目次
1. 内部脅威(Insider Threat)とは?
内部不正や情報漏えいは、組織内の人間(社員・委託先・元従業員など)が関与するセキュリティリスクです。
代表的なパターンは以下のとおり:
- 意図的な不正行為:顧客情報を持ち出す、競合にデータを売却する
- 偶発的な漏えい:誤送信、クラウド共有設定ミス
- 無意識の不注意:パスワード再利用、端末紛失
外部からの攻撃と違い「正規権限を持つユーザーの行為」であるため、検知が難しいのが特徴です。SOCでは**「通常の業務行動から逸脱していないか」を見極める**ことが重要になります。
2. 主な監視手法
(1) DLP(Data Loss Prevention)
- メールDLP:添付ファイルや本文中の個人情報・社外秘データを検知
- エンドポイントDLP:USBコピー、印刷、画面キャプチャの監視
- クラウドDLP:クラウドストレージ(Box, OneDrive, Google Drive)の共有リンク監視
検知例
dlp: Time=2025-09-10T14:02Z
User=m.tanaka
Action=SendMail
Recipient=personal@gmail.com
Attachment=customer_list.xlsx (contains 1500 PII records)
(2) SIEM / UEBAによる行動分析
UEBA(User and Entity Behavior Analytics)を組み合わせると、ユーザーの通常行動との逸脱をスコア化して検知できます。
- 通常しない時間帯の大量ファイルアクセス
- 退職予定者アカウントによる一括ダウンロード
- メール転送ルールの新規作成
例:ファイルサーバログ
fileserver: Time=2025-09-12T22:30Z
User=k.suzuki
Action=read
Files=2500 (projectX/*)
Note=Access volume exceeds baseline (avg=100/day)
(3) CASB(Cloud Access Security Broker)
- SaaS利用時の異常なアップロード/共有を可視化
- 不審な場所からのクラウドログインや、一括DLを検知
(4) IAM監査
- 権限が不要に広すぎるアカウントを特定
- 長期間利用されていない特権アカウントを無効化
3. 初動対応の基本フロー
- アラート確認
- DLP/UEBAから「大量DL」や「外部送信」アラートを受領
- トリアージ
- 正当な業務かどうかを確認(業務申請があるか?業務時間内か?)
- 封じ込め
- アカウントの一時停止や該当ファイルの共有リンク削除
- 調査
- 過去数週間の操作ログを遡って確認
- 他の従業員に同様の兆候がないか横展開調査
- 報告・再発防止
- 関係部門(人事・法務)にエスカレーション
- 必要に応じて懲戒処分や教育の実施
4. 長期的な対策
- 最小権限の徹底(Least Privilege)
- 定期的なアクセス権レビュー
- 退職者・異動者アカウントの即時無効化
- クラウドストレージのリンク公開制限
- 社員教育(情報持ち出しリスクを理解させる)
- 内部通報制度・心理的安全性の確保(不満から不正を防ぐ)
5. まとめ
内部不正や情報漏えいは「外部攻撃よりも被害額が大きい」ケースもあります。SOCでは技術的な監視(DLP・SIEM・UEBA・CASB)と、組織的なルール(権限管理・教育・内部統制)を組み合わせて防ぐことが重要です。
特にアナリストとしては、「不正の可能性」か「正当な業務」かを見極める観点を持つことが求められます。
コメント