内部不正対策をSIEM、UEBA、CASBで強化するには?~昨今増加しているSaaS悪用手口への対策とは~
-
│
3行でわかる本記事のサマリ
- SaaSの悪用による内部不正対策として、SIEM、UEBA、CASBの利用が重要視されている
- 近年でも営業秘密の持ち出し、顧客情報の流用、情報持ち込み企業への罰金などの事例が報告されている
- 内部不正対策の効果的な方法として統合認証、CASB/SWGの利用、SIEM/UEBAによる監視が挙げられる
近年、内部不正に関するインシデントが立て続けに報道されています。特に問題となっているのは、クラウドストレージやCRM(顧客管理)などのSaaSを悪用した情報漏えいです。企業はクラウドの可視化や監視・制御など、より強固な対策が求められています。本記事ではSaaS利用が進む今、SIEM、UEBA、CASBなどのソリューションを効果的に活用して、内部不正対策を正しく行う方法をご紹介します。
目次
- 内部不正対策の基本とは?~UEBAとSIEMを併用~
- 内部不正対策に役立つUEBAとは?SIEMとの違い
- SIEM、UEBA、CASBで対策すべき内部不正~2023年の情報持ち出し事例3選~
- 内部不正対策をSIEM、UEBA、CASBで強化する方法とは?~SaaSへの正しい内部不正対策~
- まとめ
1. 内部不正対策の基本とは?~UEBAとSIEMを併用~
ここでは、SIEM、UEBA、CASBを活用した正しい内部不正対策を、昨今のインシデント事例に基づいて紹介します。
多くの企業が実践している内部不正対策は大きく分けて3つあります。
(1)ルール策定
- ルールの策定や見直しを行います。例えば、USBや社外メール、ファイル共有サービスの使用などについて、情報の持ち出しルールを決定します。
- 従業員と機密保持契約(NDA)を締結します。
(2)アクセス制御
- 策定したルールに基づき、システム上で制御を行います。例えば、USBの使用や社外メールの送信、許可外のファイル共有サービスへのアクセスなどを技術的に制限します。
- 業務上必要なユーザもいるため、一律に制限することが困難な場合があります。
(3)可視化、アラート
- システムのログをSIEM(Security Information and Event Management)などに集約し、ユーザの行動を可視化します。
- UEBA(User and Entity Behavior Analytics)でログを分析し、疑わしい振る舞いに対してアラートを発報します。
- インシデント発生時には迅速に調査を行います。
2. 内部不正対策に役立つUEBAとは?SIEMとの違い
内部不正対策のログ分析では、UEBAを利用することが重要です。ここではUEBAとはどんなソリューションなのかを説明します。
従来インシデント検知に利用されてきたSIEMは、さまざまな機器のログを集約し、ログを分析するソリューションです。事前に定義したルールに基づいて異常を検知するため、見逃しや過検知が課題となります。例えば、「10MB以上の添付ファイルがついたメール送信を検知する」というルールでは、10MB未満の不正な送信を見逃したり、普段から大きな添付ファイルを扱うユーザを頻繁に誤検知したりします。
一方、UEBAはユーザの行動を学習し、普段と異なる行動を異常として検知するソリューションです。UEBAを活用すると、内部不正を効果的に検知できます。例えば、ユーザごとにアプリケーションの利用時間、利用しているUSBデバイス名、USBデバイスの書き込みバイト数、ファイル共有サイトへのアップロードバイト数、メールの宛先ドメイン、フリーメールへの送信バイト数などを学習します。各ユーザの定常時の状態を把握することができますので、そこから逸脱する振る舞いがあれば、異常と判定します。
<例>
いつもと異なる時間に、外部とファイル共有可能なアプリケーションを利用
いつもと異なるUSBデバイスの利用
いつもより多いUSBへの書き込みバイト数
いつもより多いファイル共有サイトへのアップロードバイト数
今まで送ったことがない宛先ドメインへのメール送信
フリーメールへのいつもより多い送信バイト数
3. SIEM、UEBA、CASBで対策すべき内部不正~2023年の情報持ち出し事例3選~
SIEMやUEBA、CASBで対策するべき内部不正には、近年どのような傾向があるのでしょうか。2023年に発覚した内部不正の事例を3つ紹介します。
(1)自宅からのサーバ接続で営業秘密を持ち出し
同業他社へ転職した社員が、前職の派遣社員からID・パスワードを聞き出し、土日に自宅のPCからサーバに接続して、営業秘密ファイルを持ち出しました。同社員は転職前にも3万件以上のファイルをダウンロードした形跡がありました。
(2)名刺情報クラウドから顧客情報を流用
名刺情報管理クラウドのID・パスワードを、転職先の社員に共有しました。転職先の企業では、この名刺情報を利用して営業活動が行われ、契約の成立に至っていました。
(3)情報を持ち込まれた企業も罰金3,000万円
同業他社へ転職したフードチェーン運営会社の元社長が、前職の部下に命じて、仕入れに関するデータを外部のサーバにアップロードさせました。すでに刑事裁判の判決が出ており、転職先企業に対しても、罰金3,000万円が科されています。
3つの事例を紹介しました。いずれも、情報の持ち出しにSaaSが利用されています。昨今はSaaSを悪用した内部不正が多いため、SaaSの制御や監視強化が急務です。
また、情報を持ち込まれた転職先企業に罰金が科されるケースがありました。不正な持ち出しだけでなく、不正な持ち込み対策も重要になっています。
こうした新たな手口に対しては、まだ十分に対策ができていない企業も多いのが現状です。では、どのような対策を行えばよいのでしょうか。
4. 内部不正対策をSIEM、UEBA、CASBで強化する方法とは?~SaaSへの正しい内部不正対策~
SaaSを悪用する内部不正や、不正な持ち込みに対する有効な対策として、以下があります。
SaaSを悪用した内部不正への対策
(1) 統合認証:接続できるデバイスを識別する
(2) CASB/SWG:クラウドの利用状況を可視化し、不正な操作を制御する
(3) SIEM/UEBA:SaaS上の異常な振る舞いを監視する
(4) 不正持ち込み対策:情報の持ち込み部分を監視する
それぞれ紹介していきます。
(1)統合認証:接続できるデバイスを限定する
ID・パスワードのみのユーザ認証では、自宅のPCなど、企業が許可していないデバイスからSaaSに接続できてしまいます。一方、リモートワークの普及もあり、従来のような接続元IPアドレスによる制限には限界が生じています。クライアント証明書やデバイスポスチャなど、デバイスを識別する認証を導入し、接続できるデバイスを限定することが必須です。
(2)CASB/SWG:クラウドの利用状況を可視化し、不正な操作を制御する
CASB(Cloud Access Security Broker)を導入することで、クラウドサービスの利用状況を可視化できます。ファイルのアップロード・ダウンロードの監視や、利用を許可していないSaaSへのアクセス制限、私用アカウントの利用制限などが可能です。
CASBが導入されていない場合は、社外ネットワークへのアクセスを監視するSWG(Secure Web Gateway)やクラウドプロキシを用いて、アプリケーションごとのポリシーに基づいた制御を行います。また各ユーザに与えるアクセス権は必要最低限とし、部署異動などにも即座に対応します。
(3)SIEM/UEBA:SaaS上の異常な振る舞いを監視する
SIEMやUEBAを使ってログ分析を行い、異常なアクティビティを検知します。各SaaSやCASB、SWGなどのアクセスログを分析対象とします。例えば、通常より多い回数あるいは大きいファイルサイズのアップロード、通常と異なる時間帯の操作などを監視し、アラートを発報します。
(4)不正持ち込み対策:情報の持ち込み部分を監視する
不正な持ち込み対策として、持ち出しとは逆方向の操作を監視します。例えば、USBの読み込み、メールの受信、ファイル共有サービスからのダウンロードなどに注意が必要です。通常より大きいサイズのファイルや通常と異なる時間に行われた操作をUEBAで監視することで、不正なデータの持ち込みを検知できます。
5. まとめ
本記事では、昨今のインシデント事例に基づいて、SIEM、UEBA、CASBなどによる有効な内部不正対策を紹介しました。近年SaaSを悪用した内部不正が増えており、対策としてSaaSの監視や制御が求められています。SIEM、UEBA、CASBなどを効果的に活用することが、これからの内部不正対策には不可欠です。
ご興味をお持ちの方は、お気軽にお問い合わせください。
【無料WPダウンロード】
▼アフターコロナ時代の内部不正対策~急速な環境変化の中、企業と従業員を守るための3つの指針~
【無料オンデマンド動画】
▼5分で紹介!Exabeamで実現する内部不正対策
