内部不正対策、今なぜやらなければいけないのか

内部不正対策、今なぜやらなければいけないのか

企業に求められる内部不正対策

昨今、ビジネスメール詐欺、ランサムウェア、マイニングマルウェア等、増え続けるサイバー脅威の中、数多くのインシデント事案がメディア等で報道されています。
そのような背景から外部攻撃への対策へ目を向けがちですが、社員や職員による顧客情報の持ち出し、退職時の製品情報等の競合他社への漏えい等、組織の事業を脅かす脅威は組織内にも潜んでいます。

IPAによる「情報セキュリティ10大脅威2019」においても、2018年においてランクインしていなかった「内部不正による情報漏えい」や「不注意による情報漏えい」等、従業員等が起因となる脅威が、外部脅威と同様に選出されています。
それらの従業員等が関与した内部不正事案に関しては、組織の信用問題にも関わることからすべての事案が公表されることは稀であり、実際には我々が把握しているよりも多くの事案が発生していることが予想されます。
組織はこれらの内部不正リスクを小さく受け止めず、経営課題として適切な対策を施す必要があります。

出典:情報セキュリティ10 大脅威 2019 (IPA)

なぜ内部不正対策が難しいのか?

業務上、クラウドサービスや電子メール等、従業員が自分の仕事をする為に必要なリソースに対してアクセスを許可する必要があります。その為、一部の従業員は給与情報、特許情報などの機密情報にアクセスする権限を保持していることとなります。内部不正はこれらの業務上必要な権限を利用して、正しい認証情報・機器を使用するため見つけることが非常に困難であり、多くのセキュリティ製品ではこれらの動作は正常と認識され、検知することは困難です。更に、不正者が自身の認証情報や機器だけでなく、より高い権限を不正に利用したり、機器を変更しながら横展開をする場合は、これらの脅威はより複雑になり、検出が困難となります。

DLP(Data Loss Prevention)等の既存製品にて、外部への情報持ち出し等のポリシーに違反する挙動を検出する製品を利用していても、非常に多くのアラートが発せられ、何が本当の脅威なのかの判断が難しく、大量のアラートの調査に頭を悩ましている組織も少なくないのではないでしょうか。

内部不正対策におけるログ分析の課題

上述のような現状の中、内部不正の対策として代表的なものに「ログの活用」が挙げられます。

従来は「事後追跡」「原因究明」の際に保管されてることが多かったログですが、ログにはあらゆる行動の証跡が残されており、これらを有効的に活用することで内部からの情報漏洩に繋がる「予兆」がないかを早期検知することが重要となります。

そこで大量のログを相関的に分析し、組織内で静的なルールを設けて、特定の条件にヒットした際に検知を上げるような「ルールベース」での脅威の検出が有効とされていました。しかしながら、働き方が多様化している現代では、従業員それぞれがすべて同じ条件下で勤務していることは珍しく、「何が異常な行動なのか」は一人ひとり異なります。その為、組織で統一されたルールでは、その設定によっては脅威が検出できなかったり、過検知によって真の脅威が埋もれてしまったりする懸念もあり、このルールベースのアプローチは昨今における内部不正対策としては適切であるとは言えないのが現状です。

ルールベースのアプローチでの内部不正対策の課題
(例)機密情報の送付を検知したい場合

異常値は従業員それぞれ異なる為、統一されたルール・閾値設定では、
過検知脅威の検知漏れが発生してしまう

Exabeamで実現する内部不正対策

Exabeam Advanced Analyticsでは、UEBA技術によって様々なログからユーザー毎の通常状態を機械学習し、通常状態から逸脱した行為をスコアリングすることによって、内部不正の検知・追跡を可能とします。

Exabeam Advanced Analyticsには以下のような特徴があります。

  • ルールおよびシグネチャフリーの脅威検出
    従来のSIEMのように、事前定義された相関ルールや攻撃パターンを必要とせずに、通常とは異なる異常を検出します。閾値もユーザー毎に自動調整します。
  • 全イベントの自動タイムライン化
    セキュリティイベントをまとめて、ユーザー、IPアドレス、およびITシステムにまたがるセキュリティインシデント全体を示すタイムラインにまとめる為、複雑なログの調査が必要なくなり、高度なスキルを必要としない運用が可能となります。
  • Dynamic Peer Grouping
    類似するユーザーやエンティティを動的にグループ化して振る舞いを分析し、異常な個々の動作を識別します。

注視したい人物を任意のウォッチリストに追加することが可能です。例えば、人事部門と連携して退職予定のユーザーを任意のウォッチリストに登録し、退職前に不審な動きがないかを集中的に監視することも可能です。

Exabeamでどのように内部不正対策の早期発見や対処を行えるのかについて、
以下から実際のデモ画面でご確認いただけます。
是非お気軽にダウンロードください。