数か月ごとにセキュリティ侵害のニュースを聞くたびに、内部不正を検知する 能力という点で、汎用セキュリティツールの力不足を思い知らされることになります。内部脅威は外部の脅威よりはるかに検知と防止が難しいことがその背景にあります。内部者は正当な資格情報を持ち、本質的に、組織の業務遂行上、高い信頼を寄せられ優先的アクセス権が付与されます。そのため、パスワード、アンチウイルス、暗号化、ファイアウォールなどの標準的なセキュリティ対策だけでは内部不正は防げません。
外部の攻撃者が企業ネットワークにアクセスを試みると多数の痕跡が残る可能性がありますが、請負業者が情報を売却する目的で窃取した場合は まったく気づかれないことがあります。このように組織は、リアルタイムで攻撃を検知することができず、発見できた場合でもすでに手遅れなのです。そのため、組織は内部の脅威に対して脆弱な立場にあります。
この記事では内部の脅威検知に役立てることができる以下の3種類のツール・方法について取り上げます。
- 従業員の監視
- 情報漏えい対策
- ユーザーとエンティティの行動分析
従業員の監視
従業員監視 ソフトウェアは従業員のコンピューター活動に関する有益な情報を組織に提供するために、次のような行動を監視します。
- アプリケーションやソフトウェアの使用状況
- インターネット活動
- ソーシャルメディアの利用
- ログイン/ログアウト
- 使用時間と使用していない時間の比較
多くの組織は内部の脅威をなんとか減らそうと、従業員監視 ソリューションをデプロイする道を選択しており、従業員を監視することで 普段の行動を把握します。セキュリティチームはこうした日常活動から疑わしいユーザー活動の兆候と見られるパターンや変則性の特定を目指します。侵害発生時には、従業員監視により脆弱性の元凶の追跡に役立つ活動記録が得られます。
情報漏えい対策
情報漏えい対策(DLP)は、機密データの紛失、盗難、悪用を徹底的に防止するためのツールとプロセスです。ハッカーに加えて内部の脅威を阻止するために、セキュリティ分野のプロから選ばれる手法となっています。
DLPツールは以下の3種類に大別されます。
- ネットワークDLP — 組織のネットワーク内の機密データを保護します。メールやファイル転送プロトコル(FTP)などの活動に関するすべてのネットワーク通信を監視して、ネットワーク内の不審な活動にフラグを付けて、警告します。
- エンドポイントDLP — ノートパソコン、USBディスク、外付けハードディスクなど、アクセスポイントの役割を果たして機密データにアクセス可能なデバイスを監視します。エンドポイントデバイスにインストールされるエージェントがデータ漏洩を防止し、エンドポイントの活動を把握可能にします。
- ストレージDLP — ネットワーク(オンプレミスやクラウドベースのものを含む)のアクセス権所有者によって保存、共有される機密データへのアクセスを監視します。
DLPソリューションは、情報漏えいインシデントの大半の原因である、従業員の不注意な行動による 情報漏えいやビジネスプロセスの中断といったリスクを大幅に減らすことができます。セキュリティ専門家はDLPを使うことで、ネットワークでの 情報漏えいを食い止め、コストのかかるセキュリティイベントを未然に防止します。
ユーザーとエンティティの行動分析
ユーザーとエンティティの行動分析(UEBA)では、コンピューター活動とユーザー活動に関するデータを追跡、収集、分析します。複数の手法を用いて、正常な行動と不審な活動が区別されます。
UEBAでは、通常の行動パターンを学んで基本的ガイドラインを確立し、適合しない不審な活動に警告を発することができます。UEBAソリューションは内部の脅威が疑われる不審な活動を検知します。例えば、変則的なオンライン行動、異常なアクセスアクティビティ、資格情報の悪用、過剰なデータのアップロード/ダウンロードといった活動が挙げられます。
UEBAの最も重要な役割は、悪意が原因と疑われる不審な活動を検知して、重大な損害が発生する前に、実行者を内部の脅威としてフラグを立てることです。セキュリティアナリストはUEBAを使って、不規則なオンライン行動、異常なアクセス活動、資格情報の悪用、大量のデータのアップロード/ダウンロードなど、内部の脅威の兆候と疑われる異常を監視できます。
残念なことに、内部の脅威がすぐ消滅することはありませんが、適切なツールを利用することで、内部 脅威を検知できるように準備を整えることはできます。
内部 脅威の検知に備える詳細な方法については、当社のブログ記事「Insider Threat Indicators: Finding the Enemy Within(内部の脅威:組織内の敵を突き止める)」を是非お読みください。
Stay Informed
Subscribe today and we'll send our latest blog posts right to your inbox, so you can stay ahead of the cybercriminals and defend your organization.
See a world-class SIEM solution in action
Most reported breaches involved lost or stolen credentials. How can you keep pace?
Exabeam delivers SOC teams industry-leading analytics, patented anomaly detection, and Smart Timelines to help teams pinpoint the actions that lead to exploits.
Whether you need a SIEM replacement, a legacy SIEM modernization with XDR, Exabeam offers advanced, modular, and cloud-delivered TDIR.
Get a demo today!