内部不正&ガバナンス 2020.10.26

Splunk UBAで始める　内部不正対策のススメ

企業において情報セキュリティ対策は、今や経営課題の1つにも挙げられるほど重要なものとなっており、貴重な情報資産を守るべくさまざまな対策が実施されています。ただし、その多くは外部脅威への対策が中心で、個人情報や機密情報の漏えいなど内部不正への対策はまだ十分に行われていないのが実態でしょう。情報セキュリティ対策において内部不正対策が重要であると認識されているのは間違いないですが、少ない人材のなかでなかなか手が付けられていないのが現状だと考えています。そこで、今回はSIEM( SecurityInformation and Event Management）として実績が豊富なSplunkに関する内部不正対策についてご紹介致します。

迫られる対策とシステム部門の置かれた状況

標的型攻撃など外部脅威への対策は、多くの企業が実施しており、従業員への啓蒙活動を兼ねた訓練なども積極的に実施されている状況にあります。なかには、サーバーやネットワーク機器、従業員のPC などから各種ログを収集し、それらを一元的に管理することで脅威をいち早く察知、分析するSIEMを導入している企業も増えています。従来型のファイアウォールやIDS など境界防御型のセキュリティ対策だけでは企業を守り切れる状況ではないため、全てのログから脅威を発見するようなアプローチが広がっているのです。

ただし、脅威の高まりが指摘されている内部不正への対策については、外部脅威対策ほど進んでいないのが実態です。しかし昨今では、企業のグローバル化によって日本企業で働く海外の方も増えており、文化的なバックボーンもこれまでとは異なる人たちが1つの企業で働く時代であり、社内の人間なら安全という性善説を前提に情報セキュリティを設計する時代ではありません。

また、これまで以上に人材が流動化することは間違いなく、隣で働いているメンバーが他社にも所属している、なんてことは当たり前の世の中になってくるかもしれません。

つまり、社内で働く従業員全てが会社への帰属意識が高いわけではなくなってくるため、機密情報の取り扱いもその分慎重にならざるを得ない状況です。従業員ならだれでもアクセスできる環境が、かえってリスクになってくることも考えられます。しかし、セキュリティの観点から情報へのアクセスを極端に制限すると、今度は業務の遂行上支障が出てきてしまう恐れもでてきます。だからこそ、従来通りの使い勝手を維持したまま、従業員の行動から不正につながる動きをしっかりと検知し、対策を施していくといった仕組みづくりが、内部不正の対策では重要になってくるのです。

内部不正対策に求められる要件とは？

では、内部不正への対策については、どんなことが求められるのでしょうか。もちろん機密情報の特定と保存先へのアクセス制御、USB など外部記録媒体へのコピー禁止といった対策を十分に行うことは重要ですが、アクセス権限のある人が内部不正を働いてしまうと、そもそも不正を止める手立てが講じられないケースもあります。だからこそ、具体的なアクションをしっかり補足し、それらが正しい行為であるのか、活動ログをベースに判断していく仕組みづくりが求められます。つまり、さまざまなログから従業員の振る舞いを検知し、その兆候を見つけ出すことができる環境が理想的ではないでしょうか。

内部不正対策に貢献する「UBA」とは？

人の振る舞いを見て行動の正当性を判断する仕組みとして注目されているのが、UBA（User Behavior Analytics）と呼ばれる、ユーザーの行動分析の仕組みです。UBAにより、さまざまなリソースからログを収集し、そのログからユーザーの行動を分析、異常行動を見つけ出すことが可能になります。人の振る舞いを見ていくことから、内部不正を見つけ出すための行動分析に大きく役立ちます。ログ分析によるセキュリティ製品にSIEMが存在していますが、SIEMはRaw データの保存をはじめ、迅速な検索や相関分析による調査などが可能なものであり、インシデントは迅速に検知できるものの、発生後の調査に重きが置かれています。対してUBAは、機械学習によって人の振る舞いを判断し、これまで捉えられていなかった内部不正の検知や未知のマルウェア検知などが可能なソリューションになっています。

画像①.png

Splunk UBAが内部不正対策に最適なワケ

これらUBA を選択する有力な候補として挙げられるのが、投入されたデータをもとに機械学習によって未知の脅威や異常な振る舞いを検知するSplunk User Behavior Analytics（以下、Splunk UBA）です。Splunk UBA を活用することで、ログ分析基盤およびSIEMとしての「Splunk Enterprise」をはじめ、セキュリティ運用の自動化を目指したSOAR（Security Orchestration, Automation & Response）製品である「Splunk Phantom」との連携をシームレスに行うことが可能であり、UBAで検知したものをSOAR にて実際のアクションに負担なくつなげることができるようになります。

ポイント①未知の振る舞いにも対応できる"教師いらず"のソリューション

内部不正の兆候を検知する際に、過去にも例のあるような振る舞いであれば問題ありませんが、これまでとは異なる手法、アプローチで行われた場合、それらを通常時と比較して怪しい振る舞いであることを検知するのは、本来であれば難しいでしょう。UBA が持つ機械学習の仕組みを利用しても、正常な振る舞いを学習データとして教え込ませる"教師あり"の場合は、未知のものには対応しづらいのが現状ですが、未知の脅威を検知するためには、正常な振る舞いを教え込むことなく、異常な値を見つけ出すことが可能な"教師なし"のタイプが必要不可欠になります。Splunk UBAは、正解情報を事前に用意せずとも、最低2週間ほどの過去データをもとに学習させることで、アノマリ（振る舞い）や脅威の検知が可能になります。事前準備の負担を大きく軽減させることが可能です。

教師なし機械学習

SIEM製品での検知イメージ(従来)と機械学習による検知イメージ

ポイント②アノマリや脅威の詳細説明により、次のアクションへの判断が迅速に

教師なしの機械学習によって、手間なく未知の脅威や内部不正の検知が可能になるSplunk UBA ですが、検知した結果の意味を正しく理解しないと、具体的な対処につなげていくことは難しいです。そのためには、検知した脅威の意味がきちんと言語化され、どう対処すべきかのアドバイスが欲しいところです。Splunk UBAであれば、検知内容の詳細や具体的な対策のアドバイスまで、インターフェース上で詳しく表示されるようになっており、外部システムと連携することで、チェックボタンで対策が施せるような仕組みも実装可能となっており、アクションまでの時間も大幅に短縮することができます。

図1.png