悪意のある内部不正の可視化: 行動分析(UEBA)による予兆検知の有効性

Ask the Experts(専門家に聞く)ブログシリーズ

2018年4月のPonemon Instituteの調査によれば、米国における内部不正の検知と解決の年間平均コストは876万ドルに上り、さらに増え続けています。大規模な組織は、小規模な組織と比較して内部不正の緩和に多くの費用がかかる傾向があります。インシデントの3分の2は過失によるもので、一般的に最も問題を起こしているのは不注意な従業員または請負業者です。

また、Ponemonレポートによれば、インシデントの23%には実際に犯罪の意図を持つ内部関係者が関わっており、13%には盗まれたクレデンシャルが関わっていました。件数は少ないものの、特に被害の大きいインシデントタイプです。

レポートでは、インシデントの封じ込めに要した平均時間は73日で、そのうち1か月以内に封じ込められたインシデントはわずか16%だったと説明しています。封じ込めに要した時間に比例して、コストも増加します。

Ponemonレポートは、あらゆる種類の内部不正が頻度、コストとも急増しているという、既にご存じかもしれない事実を裏付けています。

しかし、こうした調査が明らかにしているのは内部不正の既知のデータのみです。調査した159の組織の内部に、まだ検知されていないインシデントはいくつあるでしょうか。これを確実に知る方法はありませんが、サイバー脅威やインシデントが検知も報告もされないまま進行しているのはよくあることで、それはときには数年にも及びます。わかっているのは、どの組織にも内部不正の危険にさらされている可能性があり、その攻撃の規模は想像より大きいということです。

内部関係者の定義

内部関係者と内部不正の意味については明確に一致した見解がないため、最初にこれらを定義します。内部関係者とは、組織の1つ以上のネットワークアセットにアクセスできる権限を正式に与えられた人です。例えば、従業員、請負業者、ベンダー、パートナー、アクセス権を無効にしていない元従業員などです。また、バックドアにアクセスできる開発者や、既存のシステムを移行してネットワークに組み込んだ合併・買収した会社の従業員が含まれる場合もあります。

内部不正とは、内部関係者または内部関係者になりすました外部者による、組織のアセットに対する過失または故意の犯罪的行為です。内部不正インシデントは、そのような1つまたは複数の不正に起因する損失です。

内部不正の一般的な指標

まず、比較的よくある内部不正に注目しましょう。監視すべき予測可能な行動指標を以下に挙げます。

  • 疑わしいVPNアクティビティ:異常な場所またはIPアドレスからの、異常な時刻に行われた接続。
  • 解雇などの嫌な出来事を知らされた従業員。直接影響を受ける人だけでなく、職場に残る人にもやる気の低下などの影響があります。
  • 辞表を出したばかりの退職する従業員。クレデンシャルが取り消される前に、多くは辞表を出す前に、新しいアカウントを作成しておいてアクセス権を得ようとする行動は珍しくありません。
  • 大量のデータを外部ドライブにダウンロードしている人、または許可を受けていない外部デバイスを使用している人。
  • 職務に関係のないデータにアクセスしている人。
  • 機密情報の個人用アカウントへのメール送信。
  • セキュリティ制御を回避しようとしている人。
  • 実際に必要がないのに、高いレベルのアクセス権を申請している人。
  • 退職後も機密データにアクセスしている元従業員。
  • ネットワークのクロール、データのかき集め、または内部リポジトリからのコピー。
  • 通常の勤務時間パターンからの逸脱。

ご覧のように、内部不正はただ1つのイベントではなく、最終的に組織の脅威になる一連のイベントです。こうしたリスクの高い行動とパターンを積極的に特定し、セキュリティオペレーションセンター(SOC)に警告して内部不正の可能性を監視できるようにすることが重要です。

内部不正を阻止するための従来型のアプローチ

多くの組織では、無許可のデータ転送(データエクスフィルトレーション)を阻止するための試みとして、DLP(データ損失防止)を重視することがよくあります。しかし、多くのDLPソリューションが生成する結果は、利用するために時間とリソースがかかります。一般的には、アナリストが個々のポリシーと違反に対応するルールを作成する必要があり、このルールにより毎日数百あるいは数千ものイベントが発生する可能性があります。そのため、実際の脅威やインシデントを発見することが「干し草の山で針を探す」ような作業になってしまいます。

従来型の内部不正検知におけるもう1つの問題は、内部関係者の意図を理解できないことです。前述のように、ほとんどの内部不正は、悪意ではなく過失から起こります。組織内に過失による不正が多いと気付けば、是正措置として処罰ではなく教育を検討するかもしれません。しかし、そのように適切な措置を取るには行為の意図を理解する必要があるのです。

行動ベースのアプローチによる内部不正の先回りした検知

内部不正がインシデントになる前に阻止することを目標にすべきです。外部の脅威と異なり、内部不正は通常、長い時間をかけて進行します。それを発見するには、持ち出すためにファイルをコピーしてまとめておく、後で使うためにアカウントを作成するなどの、通常の範囲を逸脱したユーザの行動を監視できるようにする必要があります。

「組織が基準となる従業員の通常行動を理解し、また従業員にも他人の情報収集に利用されるおそれがあることを理解してもらうことが、きわめて重要です」

Combating the Insider Threat(内部不正に対抗する)、米国国土安全保障省

内部不正の行動を特定するために必要なツールは、既存のすべての脅威インテリジェンスとIOC(セキュリティ侵害指標)にデータサイエンスを適用するUEBA(ユーザとエンティティの行動分析)ソリューションです。この手法では、過去の既知の攻撃における戦術、技術、手順(TTP)を組み込みます。

ExabeamのUEBAは、ネットワーク上のユーザの行動を分析し高度な分析を適用して異常を検知する、行動ベースのアプローチを採用しています。関連するイベントを自動的につなぎ合わせて、悪意の指標を特定しやすくし、内部不正をすばやく検知できるようにします。ExabeamのThreat Hunterは、特定された行動アーティファクトとユーザコンテキストに基づいてアナリストが不正を検索できるようにします。

知的財産の盗難の例

まもなく退職する従業員が知的財産(IP)を盗み出そうとしているという一般的なシナリオについて考えてみましょう。Advanced Analyticsダッシュボードでは、アナリストはリスクの理由をドロップダウンから選択するだけで、予測可能な悪意ある行動を示しているユーザを検索できます。これは、ルールを守っていないユーザを把握してウォッチリストに載せる方法の1つです。アナリストが実施できる多くの内部不正調査の、ほんの一例にすぎません。

図1:Threat Hunterを使用した、過去90日間に異常な数のメールを個人アカウントに送信したユーザの検索

図2では、あるユーザが大量のメールを個人アカウントに送信したため、リスクスコアが129になっています。スコアの下にあるUEBAタイムラインは、内部不正を明るみに出すための関連イベントと悪意の指標をアナリストに提供します(図3)。

図2:Threat Hunterによる、異常な数のメールを個人アカウントに送信するイベントを複数発生させたユーザの表示

ユーザのタイムラインをクリックすると、すべてのイベントを調べて悪意の指標を追跡できます。次に、アナリストが内部不正を明るみに出すためにUEBAタイムラインがどのように役立つかを見ていきましょう。

この例では、リスクスコア129のユーザを発見しました。次に、タイムラインを確認して内部不正を示すその他の指標があるかどうかをチェックできます。通常、1つの指標を探していると、不正につながる他の関連イベントが1つだけでなく多数見つかります。ユーザトレンドを使用すると、1つのタイムラインにつなぎ合わされたすべての関連イベントを追跡できます。また、ファイル、Web、ネットワークなどの他のアクティビティでフィルタ処理することもできます。

図3:ユーザアクティビティによるフィルタオプションのある、
すべての悪意ある行動のユーザトレンドを示すユーザカード

ご覧のように、1つの指標だけでは内部不正に該当しません。ユーザが異常に大きいメールを個人アカウントに1通アップロードしても、それだけでは懸念するレベルまでスコアが上昇しません。しかし、他の異常行動と組み合わせると、この一連のイベントは疑わしく高リスクであるとフラグが立てられます。このユーザのリスクの理由をすべて見ると、内部不正につながる多くの行動アーティファクトがあることがわかります。

図4では、データエクスフィルトレーション(社内データの個人アカウントへの送信)と、他のシステムへの異常なアクセス(ラテラルムーブメント)を組み合わせています。こうして、実際に行われた不正パターンが明らかになります。

Exabeamでは、ユーザの行動を徹底的にプロファイリングするために多数のモデルを用意しています。これは、未知の行動アーティファクトを検知するために大きな効果を発揮します。

図4:タイムラインにつなぎ合わされて調査担当者に内部不正を示す様々な悪意の指標

Exabeam Advanced Analytics(AA)によって明らかにされた異常イベントに基づいて、アナリストは簡単にユーザを監視し、さらに異常行動を示した場合にはアクセスを停止することができます。 Advanced Analyticsは、疑わしいユーザと対決するために十分なエビデンスを提供するため、えん罪のおそれがありません。最も重要なのは、Advanced Analyticsが、調査担当者とSOCアナリストが内部不正を常にチェックできる堅牢なツールであるということです。

Pramod Borkar

Pramod Borkar
Exabeam, Inc. テクニカルマーケティング

お問い合わせ・資料請求

株式会社マクニカ  Exabeam 担当

月~金 8:45~17:30