判断の難しい内部不正対策をスコアでわかりやすく可視化 リスクの高い行動を誰でも把握できるように

【ユースケース】内部不正対策
製造業L社

最近メディアを賑わせている、従業員や派遣社員、海外の現地社員などによる情報漏えい事件。大手製造業のL社も同様の事件が起きないか不安を感じていましたが、従来のシステム上では社内の人間による正規のアクセスとなるため、不正が起きても把握することが困難でした。そこでL社は内部不正対策として、SplunkのSIEMで収集したログを、ExabeamのUEBAで分析。リスクの高い行動をスコアとしてわかりやすく可視化することで、内部不正を未然に防ぐ仕組みを実現しました。一定のスコアに達すると担当者に自動でアラートが通知されるため、作業負荷も大きく削減されています。

内部不正による情報漏えいのリスクに懸念

海外にも拠点を構える大手製造業のL社。同社は、従業員や派遣社員、海外の現地社員などが社内から機密情報を持ち出す情報漏えいが自社でも発生するリスクを感じていました。L社は世界でもトップレベルの技術力を持っていますが、それだけに同社の持つ開発情報や設計情報などは犯罪者からすれば絶好のターゲットとなります。

一般に、情報漏えいには社外からのサイバー攻撃と社員による内部不正の2種類があります。サイバー攻撃はセキュリティ製品などで対応できますが、内部不正はシステム上、正規のアクセスとなるため、行為そのものを止めることはできません。機密情報がUSBメモリなどにコピーされたことがわかっても、当人に「業務の一環です」と言われればそれまでです。
「実際、社員が退職する際に機密情報を持ち出し、"手土産"として同業他社に転職したり、第三者に売りさばいたりするケースはよく聞きます。当社では、社員ごとの権限を厳重に管理し、異動や退職の際には早急にActive Directoryのアカウントを削除するなどの対策を実施していますが、これでももともと権限のある社員による不正行為を完全に防ぐことはできません」（L社）

社員の各操作のリスクを可視化できるExabeamのUEBA製品を採用

そこでL社は、内部不正に対応するためのソリューションの検討を開始しました。しかし、当時は内部不正に特化した製品がなかったため、既に導入済みだったSplunkのSIEMを使い、ログを分析することで内部不正の検知を試みました。ところが、機密情報のダウンロードや大容量データのメール送信など静的なルールしか設定できず、結果、過検知・誤検知が大量に発生してしまったのです。
「SIEMに蓄積されたログを精査するには専門のスキルが必要になりますし、時間もかかります。よって社内のSOCで対応するのが難しかったのですが、機密情報に触れる機会が多いため、外部のマネージドサービスを利用するわけにもいきませんでした」（L社）

そこでL社がマクニカネットワークスに相談したところ、ExabeamのUEBA製品とSplunkのSIEMを組み合わせることで、内部不正のあぶり出しが可能になるとのアドバイスを受けました。UEBAとは「User and Entity Behavior Analytics」の略で、ユーザーおよびエンティティのふるまい解析と訳されます。UEBAは機械学習による相関分析により、通常のふるまいと、それと異なるふるまいを検出することが可能です。

社員の操作ログはSIEMに蓄積されます。こうしたログと人を紐付けるのは、操作するデバイスが必ずしも同一ではないため大変な作業になりますが、ExabeamのUEBA製品では自動化できます。さらに、リスクのある操作をあらかじめ設定しておくことで、社員がそれに該当する操作を行った場合、スコアとして加算されます。つまり、社員の各操作のリスクが可視化されるのです。

リスクのある操作といえば、例えば...
・転職サイトにや他社の労務環境情報などにアクセスした
・データベースから大量のデータをコピーした
・メールで大量のデータを送信した
・USBメモリに大量のデータをコピーした
などです。

社員をこうした操作を行うたびに、設定されたスコアが加算されます。そして、リスクの高い特定の操作を行ったときや、スコアが一定以上になったときに、担当者へアラートを飛ばすことができるのです。
「これらの機能を高く評価し、導入を決定しました」（L社）

社員の抱えるリスクを誰でもわかりやすく把握できるように

導入については事前にポリシーに照らして各操作のリスクを設定する必要があり、そこに時間がかかりましたが、製品について高い知見を持つマクニカネットワークスの手厚いサポートがあったため、想定より早く導入できたといいます。なおこの際、全社に導入を告知しています。これは「行動を監視されている」と意識させることで抑止効果を狙ったものです。

導入後は、SplunkのSIEMが収集したログを、ExabeamのUEBA製品が社員ごとに紐付け、通常のふるまいを学習。それとは異なるリスクの高い操作が行われたときにスコアを加算します。一定以上のスコアになると担当者にアラートが通知されますが、これらの検知状況はダッシュボードでいつでも確認できるようになっています。
「ダッシュボードはすべて日本語表記で、社員ごとにリスクのある操作の履歴が色とスコアで表示されます。また、色はイベントタイプによって異なるので、何をしたのか把握も容易です。おかげで、これまで可視化が非常に困難だった社員の行動を、誰でもわかりやすく把握できるようになりました。さらに、タイムラインで確認することもできるので、リスクのある操作の実施頻度なども確認でき、頻度が高くなる傾向があれば対応する準備ができるのはありがたいですね」（L社）

今後はリアルタイムの警告表示に取り組む

今回の導入により、L社はリスクのアセスメントや棚卸しができたほか、社員がルールを守るクリーンな環境を実現できました。今後L社では、アラートを受けてから対処するのだけでなく、リスクのある操作を検知した段階で警告画面を表示し、操作をブロックできるような仕組みも導入したいと考えています。

そのために必要なのが、エンドポイント型の内部不正対策製品との連携です。Proofpointの「ITM(Insider Threat Management)」を導入すれば、リスクのある操作を行った社員へポリシーや案内を通知し、行動をテキストと録画で把握することが可能になります。Proofpointでは情報リテラシーに関する教育コンテンツも提供しており、リスクのある操作を検知したタイミングで、短い教育動画を表示することも可能です。
「このほか、特権IDの管理が不十分であるとも感じているので、例えばCyberArk
の「PAM（Privileged Access Management）」など特権IDを保護するソリューションの導入も考えています」（L社）

このようにL社は、もともと導入していたSplunkのSIEMとExabeamのUEBA製品を連携することで、内部不正を防止する仕組みを構築しました。内部不正対策に悩んでいる企業の方は、一度マクニカネットワークスに相談してみてはいかがでしょうか。

▼Exabam（SIEM、UEBA）オンデマンド動画
『リモートワーク推進時代における内部脅威対策
　～内部不正対策ソリューションのリーディングカンパニーExabeamで実現するリスクの可視化～』


▼Splunk（SIEM、UEBA）資料


▼Proofpoint（セキュリティ教育）資料

『内部不正の現状の解説と、Proofpoint社の「人」にフォーカスした
　内部不正対策ソリューションのご紹介』

▼CyberArk（特権ID管理）オンデマンド動画


▼メルマガ登録