内部脅威 - 内部脅威

内部脅威は動機によって大きく 3 つに分類されます。

• 悪意のある内部者（Malicious Insider）: 金銭目的・不満・転職先への手土産などの動機で意図的に情報を持ち出す。退職予定者や処遇に不満を持つ従業員がリスク要因
• 不注意による内部者（Negligent Insider）: セキュリティポリシーを理解していない、または軽視して機密情報を誤って外部に流出させる。全インシデントの過半数がこのタイプ
• 侵害された内部者（Compromised Insider）: フィッシングやマルウェアにより認証情報を窃取され、攻撃者に正規アカウントとして利用される

退職者・異動者のアカウント管理不備は、内部脅威の中でも最も予防可能な領域です。

• オフボーディングチェックリスト: 退職・異動時に無効化すべきアカウント・権限の一覧を作成し、人事と IT 部門で連携して確実に実行する
• 即日無効化: 退職日当日（理想的には退職通知と同時）にすべてのアカウントを無効化する。特に VPN、リモートアクセス、クラウドサービスは即時対応が必要
• 共有アカウントのパスワード変更: 退職者がアクセスしていた共有アカウントのパスワードを変更する
• 物理アクセスの回収: IC カード、鍵、社用端末などの物理的なアクセス手段を回収する
• 定期的な棚卸し: 四半期ごとにアクティブなアカウント一覧を人事データと突合し、不要なアカウントを検出する

オフボーディングチェックリスト退職・異動時に漏れなく実施すべきセキュリティ対応の一覧（日本企業あるある付き）

委託先のセキュリティ管理は自社と同等の基準で行う必要があります。

• 最小権限の原則: 業務に必要な最低限のアクセス権のみを付与する。本番環境の管理者権限は原則として委託先には付与しない
• 有効期限付きアカウント: 契約期間に連動した有効期限をアカウントに設定する。期限が来たら自動で無効化される仕組みが望ましい
• NDA の締結: 秘密保持契約を締結し、情報の取り扱いに関する法的な拘束力を確保する
• アクセスログの監視: 委託先のアクセスログを定期的にレビューし、不審なアクセスパターンがないか確認する
• 定期的なセキュリティ評価: 委託先のセキュリティ体制を定期的に評価する。ISO 27001 や SOC 2 の取得状況も確認する

内部脅威は外部攻撃と異なり、正規のアカウントで正規の経路からアクセスするため、検知が困難です。

• UEBA（User and Entity Behavior Analytics）: ユーザーの通常の行動パターンを学習し、逸脱した行動（大量ダウンロード、業務時間外のアクセス等）を検知する
• DLP（Data Loss Prevention）: 機密データの外部への持ち出し（メール添付、USB コピー、クラウドアップロード）を検知・防止する
• 特権アクセス管理（PAM）: 管理者アカウントの使用をセッション記録付きで管理し、不正利用を抑止する
• 退職予定者の監視強化: 退職届提出後の期間は、データアクセスのモニタリングを強化する。ただしプライバシーへの配慮も必要