企業にとって大きな脅威である情報への不正アクセス。そのなかでも近年は、組織の内部から情報へ侵入するインサイダー脅威が大きくなっています。こうしたインサイダー脅威への対策として、従来はログをルールに基づくルールベースの監視をしてきました。しかし近年では、脅威の多様化や巧妙化にともないルールベースの監視だけでは脅威に十分対応できなくなってきました。UEBA(ユーザーと機器の行動分析)は、セキュリティAIおよび機械学習の技術を取り入れた、こうした脅威への対応方法です。
不正アクセスとインサイダー脅威
不正アクセスとは、本来であればアクセス権限を持たない者が、サーバーや情報システムの内部へ侵入する行為です。その結果、サーバーやシステムが停止してしまったり、重要情報が流出したりして、大きな被害が発生します。
不正アクセスといえば、コンピュータウイルスの感染や悪意のあるハッカーによるインターネットからの侵入を思い浮かべる人も多いでしょう。たしかに、ウイルスや悪意のあるハッカーなどといった企業の外部からの不正アクセスはシステム運用にあたって大きな脅威です。しかし、不正アクセスは企業の外部からだけではありません。
不正アクセスのなかで、企業の内部からのものは「インサイダー脅威」と呼ばれます。インサイダー脅威は通常、悪意のある社員など、企業内部の人間が機密データや重要な資産データにアクセスして外部に流出させるなど、目的外の使い方をすることです。企業内部の人間はデータへのアクセス方法や不正の検知を回避する方法を知っていることも多いため、インサイダー脅威を検知するのは困難な場合が多いです。また、クラウドサービスの利用や個人のメールアドレスを用いたデータの送受信などにより、意図せずにデータが外部に流出してしまう場合もあります。こうした意図的ではないインサイダー脅威にも気をつける必要があります。
インサイダー脅威の実例として、顧客個人情報が流出した事件や企業の機密情報が漏えいした事件があります。2014年7月に発覚した大手通信教育会社からの顧客情報流出事件では、約3500万件分の顧客情報が流出しました。この事件では、グループ会社の業務委託先の社員が顧客の個人情報をデータベースから抽出し、業務で使用していたPCに保存したあと、USBケーブルで自身のスマートフォンに転送して内蔵メモリに保存し、名簿業者に売却していました。顧客情報流出の現場となったグループ会社では、内部者による情報漏えいなどのリスクも想定した技術的対策を講じていたものの、二重、三重の対策を講じるなど徹底的な体制までは構築できていませんでした。また、流出元となった会社の役職員の多くは「内部者が悪意を持って大量の個人情報を持ち出すことはあり得ない」という意識であった可能性が高いようです。この事件の報告書は、データベースへのアクセスログや通信ログなどを取得してモニタリングする仕組みはあったものの、意図的な不正行為を想定してログを定期的にモニタリングすることはしていなかった、と結論づけています。
2014年3月に発覚した大手電機企業からの機密情報漏えい事件では、パートナー企業の元社員が海外のライバル企業に研究データを不正に渡していました。当該元社員は退職直前の2007年4月から2008年5月にかけてサーバーにアクセスして研究開発データを自分のUSBメモリにコピーし、2008年7月に入社した転職先企業(海外のライバル企業)に当該データを提供していました。漏えい元の企業では内部調査の結果、当該元社員のIDによる接続記録が残っていることが判明し、USBメモリを用いたデータの持ち出しの証拠となりました。この漏えい元の企業は、当該元社員を不正競争防止法違反で告訴するとともに、漏えい先企業と当該元社員に1,100億円あまりの賠償金を求めて裁判所に訴えました。この裁判は、漏えい元企業に対して漏えい先企業が330億円あまりを支払うことで和解となっています。
また、インサイダー脅威は社内だけで処分が行われて公表されないことも多いため、水面下ではより多くの企業がインサイダー脅威に直面しているとも考えられます。
不正アクセスとインサイダー脅威の検出
不正アクセスやインサイダー脅威を検出するためには、システムのコンピュータや周辺機器へのアクセスや動作状況などが記録されるログを監視・分析します。そのため、ログの管理がきちんと行われていることが検出のための条件になります。
企業などのシステムでは一般に、出力されるログの量は膨大です。人間がそうしたログを監視・分析するのは大きな手間がかかり困難なため、自動化が試みられてきました。ログ監視・分析の自動化のためにまず導入されたのは、不正アクセスやインサイダー脅威の兆候をあらわすルールを定め、そのルールに合うログがあればアラート(警告)を出す仕組みです。アラートの出たログに対して詳しい分析をすることにより、本当にインサイダー脅威があるかどうかを判定します。ルールは、システムの管理者が設定します。しかし、この方法ではアラートが多すぎるため、十分な分析ができずにインサイダー脅威を見逃してしまうことも多くありました。また、悪意のある企業内部の人間は、ルールを避けてアラートが出ないように不正アクセスをする可能性もあります。あらかじめ定められたルールを元にしたログの分析には限界があるのです。
UEBAとは
UEBA(User and Entity Behavior Analytics、ユーザーとエンティティのふるまい分析)は、ログなどの収集された膨大なデータを元に企業内の人間や機器の行動を統計的に分析し、不正な行動やリスクを早期に検知する技術です。分析にあたっては、機械学習が用いられます。機械学習とは、コンピュータに大量のデータを反復的に学習させ、データに潜むパターンを見つけ出せるようにすることです。近年、AI(Artificial Intelligence、人工知能)を用いたセキュリティ技術が数多く出現しており、機械学習を用いてログを分析するUEBAもそのひとつになります。UEBAにより、従来のログ分析よりも正確でより広い対象のリスクを検知することが期待されています。また従来のルールベースのログ分析とは異なり、システム管理者がルールを設定する必要はありません。
不正アクセス対策ツールChange Auditor Threat Detection
Quest社のChange Auditor Threat Detectionは、UEBAによってログから異常を正確に検出します。
Change Auditor Threat Detectionは、コンピュータの認証、Active Directory、ファイルアクセスなどのログを分析し、機械学習を用いて個々のユーザー行動パターンを取得します。その上で、ログのなかから異常を見つけ、ユーザー行動パターンとあわせて、アラートを出すかどうかを判断します。
従来の不正アクセス対策ツールでは、ログのなかから異常を見つけただけでアラートを出していたため、過剰にアラートを出す傾向がありました。Change Auditor Threat Detectionでは本当に疑わしい異常に対してだけアラートを出します。また、Change Auditor Threat Detectionではログの異常同士を関連づけ、機械学習を用いて異常を検出します。この機能により、過剰なアラートを抑制するとともに、ほかの不正アクセス対策ツールでは検出できない異常を検出してアラートを出すことができます。
個人情報や機密情報を扱っているような方にとっては不正アクセス、特にインサイダー脅威は今後とも対策が必要となる重大な脅威です。Change Auditor Threat Detectionをそうした脅威への対策としてぜひ検討してください。
