内部不正対策最前線!UEBAが注目されるワケ【前編】
-
│
本記事のサマリ
多くの企業がと取り組む内部不正対策ですが、その中心的な役割を果たすのが、可視化に不可欠なUEBAです。今回は、内部不正対策で可視化を実現しているユーザーのなかで、具体的に効果が出ているユースケースや運用例などを紹介していきます。
3行でわかる本記事のサマリ
- 内部不正対策では、可視化の重要性が高まり、ログやファイル操作の監視に注目が集まっている。
- 2022年の内部不正防止ガイドライン改定により、企業はログ・証跡の取得に関する対策が必要に。
- 機械学習を活用するUEBAは内部不正の早期発見・対処に有効、多くの企業で効果が出始めている。
目次
- 内部不正対策にUEBAが注目されるワケ
- 内部不正対策の変化
- 内部不正ガイドライン改定で「ログ・証跡の取得」が追加に
- 早期発見・早期対処には「機械学習」が有効
※本記事の内容は動画でもご覧いただけます
内部不正対策にUEBAが注目されるワケ
内部不正対策の変化
内部不正対策はこれまで、USBメモリの利用禁止、パブリックメール転送禁止などのルールや、共有サイトのブロック、許可されたUSBデバイス以外の接続をブロックなどのアクセス制御での対策が一般的でした。しかし、昨今では「可視化」の重要性が高まっており、プロキシやEmail、ファイルサーバー等のログから疑わしいふるまいやコンプライアンス違反の操作をアラートするという対策にシフトされはじめています。
可視化にあたっては、SIEMや、ユーザーの行動を分析して異常行動を検知するUEBA(User and Entity Behavior Analytics)を活用する企業が増えており、対策の効果も見え始めています。
内部不正防止ガイドライン改定で「ログ・証跡の取得」が追加に
内部不正対策に変化が起きた背景には、2022年に5年ぶりに改訂された「IPA 組織における内部不正防止ガイドライン」の存在が大きいでしょう。変更のポイントは大きく5つあります。
5つの改定ポイント
①経営者に向けたメッセージの強化
②働き方改革による新たなリスクへの対策が追記・増補
③雇用の流動化による退職者増加による人的管理の強化
④セキュリティ技術の急速な進展と個人情報に配慮した運用のあり方
⑤重要な法改正に伴う対策
なかでも、2つ目のテレワークにおける新たな働き方によるリスクに関する対策が最も多く追記されており、下図にある通り、新たに対策のポイントが示されています。
「4-5.原因究明と証拠確保」の項目において、可視化に関連した情報システムにおけるログ・証跡の記録と保存に関しても言及されています。
可視化に向けては、ログの活用や証跡の管理が求められますが、ガイドラインのなかでは、「ログ・証跡から不正行為の前兆となる行為を知ること」、そして「内部不正の発見の遅れや発見時に被害が大きくなっているという事態を防ぐこと」が目的の一部となっています。
つまりは、予兆検知も含めた早期発見できる、かつ早期対処につながる仕組みを持つことが、内部不正の抑止や防止につながるというわけです。
早期発見・早期対処には「機械学習」が有効
内部不正を早期発見、かつ早期対処するためには、ルール違反の行動を検知したり普段とは逸脱した異常行動を検知したりできる環境が必要です。人の力で一つ一つを確認していくことは現実的ではなく、「機械学習」を活用することで、普段と違うふるまいを検知することが容易になります。また、検知後は影響範囲の特定や証拠の発見が必要で、ユーザーがどのような行動をしたのかをいち早く知る必要があります。
例えばユーザーがクラウドからファイルをダウンロードし、操作したファイルをメールに添付して持ち出すといった行為を行った場合、プロキシのログやエンドポイントにおけるファイル操作のログ、メールサーバーのログなどを組み合わせ、横串でユーザーごとの振る舞いを確認していく必要があります。
このような早期発見および早期対処に有効になるのが、UEBAと呼ばれるソリューションです。2022年マクニカの調査では、UEBAを利用して6か月間で多い企業では20件以上の内部不正インシデントが明らかになっています。各社件数の違いはあるものの、UEBAが内部不正を浮き彫りにしていることが分かります。
UEBAが効果的だったユースケース
UEBAが早期発見や早期対処に有効な例として、実際にUEBA利用する企業のうち、6か月間で20件以上の内部不正インシデントが明らかになった企業もありました。ユースケースの詳細は、関連記事から是非ご覧ください。
\関連記事はこちら/
\本記事の内容を、動画でご視聴いただけます/
登録後すぐにご視聴可能
\ソリューションに関するお問い合わせはこちら/
