内部不正対策、今なぜやらなければいけないのか

企業に求められる内部不正対策

昨今、ビジネスメール詐欺、ランサムウェア、マイニングマルウェア等、増え続けるサイバー脅威の中、数多くのインシデント事案がメディア等で報道されています。
そのような背景から外部攻撃への対策へ目を向けがちですが、社員や職員による顧客情報の持ち出し、退職時の製品情報等の競合他社への漏えい等、組織の事業を脅かす脅威は組織内にも潜んでいます。

IPAによる「情報セキュリティ10大脅威2020」においても、「内部不正による情報漏えい」や「不注意による情報漏えい」といった従業員等が起因となる脅威が2019年より大きくランクを上げてきています。
それらの従業員等が関与した内部不正事案に関しては、組織の信用問題にも関わることからすべての事案が公表されることは稀であり、実際には我々が把握しているよりも多くの事案が発生していることが予想されます。
組織はこれらの内部不正リスクを小さく受け止めず、経営課題として適切な対策を施す必要があります。

出典：情報セキュリティ10 大脅威 2020 (IPA)

なぜ内部不正対策が難しいのか？

業務上、クラウドサービスや電子メール等、従業員が自分の仕事をする為に必要なリソースに対してアクセスを許可する必要があります。その為、一部の従業員は給与情報、特許情報などの機密情報にアクセスする権限を保持していることとなります。内部不正はこれらの業務上必要な権限を利用して、正しい認証情報・機器を使用するため見つけることが非常に困難であり、多くのセキュリティ製品ではこれらの動作は正常と認識され、検知することは困難です。更に、不正者が自身の認証情報や機器だけでなく、より高い権限を不正に利用したり、機器を変更しながら横展開をする場合は、これらの脅威はより複雑になり、検出が困難となります。

DLP(Data Loss Prevention)等の既存製品にて、外部への情報持ち出し等のポリシーに違反する挙動を検出する製品を利用していても、非常に多くのアラートが発せられ、何が本当の脅威なのかの判断が難しく、大量のアラートの調査に頭を悩ましている組織も少なくないのではないでしょうか。

内部不正対策におけるログ分析の課題

上述のような現状の中、内部不正の対策として代表的なものに「ログの活用」が挙げられます。

従来は「事後追跡」「原因究明」の際に保管されてることが多かったログですが、ログにはあらゆる行動の証跡が残されており、これらを有効的に活用することで内部からの情報漏洩に繋がる「予兆」がないかを早期検知することが重要となります。

そこで大量のログを相関的に分析し、組織内で静的なルールを設けて、特定の条件にヒットした際に検知を上げるような「ルールベース」での脅威の検出が有効とされていました。しかしながら、働き方が多様化している現代では、従業員それぞれがすべて同じ条件下で勤務していることは珍しく、「何が異常な行動なのか」は一人ひとり異なります。その為、組織で統一されたルールでは、その設定によっては脅威が検出できなかったり、過検知によって真の脅威が埋もれてしまったりする懸念もあり、このルールベースのアプローチは昨今における内部不正対策としては適切であるとは言えないのが現状です。

Exabeamで実現する内部不正対策

Exabeam Advanced Analyticsでは、UEBA技術によって様々なログからユーザー毎の通常状態を機械学習し、通常状態から逸脱した行為をスコアリングすることによって、内部不正の検知・追跡を可能とします。

Exabeam Advanced Analyticsには以下のような特徴があります。

注視したい人物を任意のウォッチリストに追加することが可能です。例えば、人事部門と連携して退職予定のユーザーを任意のウォッチリストに登録し、退職前に不審な動きがないかを集中的に監視することも可能です。

内部不正対策を実現するExabeam についての詳細についてはこちら