企業のセキュリティリスクにおいて、わずか1年未満で内部脅威の割合が10ポイント急増し、外部のハッカーよりも「内部の人間」が最大の脅威になりつつあります。Orange Cyberdefenseが公表した新たなデータによると、内部脅威の割合が47%から57%へと上昇し、史上初めて外部攻撃を上回ったことが示されています。
内部脅威が57%——初めて外部攻撃を超えた
Orange Cyberdefenseのレポートによると、企業が直面するセキュリティインシデントのうち、内部脅威が占める割合は57%に達しています。これは1年未満の間に47%から10ポイント上昇した数字です。
一方、外部からのハッキングは31%とほぼ横ばいで推移しています。注目すべきは従業員による「ミスユース(不適切な利用)」の急増で、29%から45%へと大幅に上昇しています。
なぜ従業員がリスクになるのか——シャドーITとハッカーの戦略転換
レポートはリスクの背景として、「シャドーIT」の拡大を挙げています。業務で承認されていないツールを使う従業員が増えており、機密性の高い社内情報を公開アプリに入力してしまうケースが問題視されています。レポートでは、企業がAIを適切に活用しようとする中でシャドーITが広がっている点も言及されています。
さらに、外部のハッカー自身が戦略を変えている点も見逃せません。高度な技術を要する外部からの攻撃に頼るのではなく、従業員の日常的な行動を悪用する手口が増えているとされています。
Orange CyberdefenseのシニアセキュリティリサーチャーであるCarl Morris氏は次のように述べています。「従業員のミスユースは本質的に悪意があるわけではありませんが、特に攻撃者がポリシーの抜け穴を外部への侵入口として利用するようになっている現状では、高度な侵害と同じくらい深刻な被害をもたらす可能性があります」
従業員のPCと認証情報、1年で狙われ方がこう変わった
インシデントの内訳を見ると、従業員の端末(エンドポイント)が関与するケースが全体の53%以上を占めており、最大の攻撃対象となっています。
また、アカウントや認証情報を狙う「アイデンティティ攻撃」も約1年で10%から17%へと急増しています。割合としてはまだ小さいものの、上昇ペースは無視できない水準です。
企業が今すぐ取れる対策——アクセス制御とMFAの徹底
Orange Cyberdefenseは、企業に対して「多くのリスクが組織の内部から来ている」という現実を直視するよう促しています。
具体的な対策として同レポートが挙げているのは、以下の2点です。
- アクセス制御と権限の絞り込み:不必要な権限を削減することで、攻撃者が悪用できる「攻撃対象領域」を縮小できます。
- 多要素認証(MFA)の導入:シンプルながら効果的な手段として、攻撃者による不正アクセスを防ぐ手段として挙げられています。
外部からのサイバー攻撃対策に注力してきた企業も、内部リスクの管理体制を見直す余地がありそうです。
Q&A
Q. 「内部脅威」とは具体的にどのような行為を指しますか? レポートでは、従業員による承認外ツールの使用(シャドーIT)や、機密情報を公開アプリに入力するといった「ミスユース」が主な例として挙げられています。悪意のある行為だけでなく、意図しない不適切な利用も含まれます。
Q. MFAを導入していない場合、具体的にどのような被害シナリオが想定されますか? Orange Cyberdefenseのレポートでは、攻撃者がポリシーの抜け穴を外部への侵入口として利用するケースが増えていると指摘されています。アイデンティティ攻撃は約1年で10%から17%に増加しており、MFAはこうした不正アクセスを防ぐ有効な手段として同レポートで挙げられています。
