データサイエンスで内部の脅威に対抗

Exabeam Security Management Platform (SMP) が最も重要で見つけにくいユースケースの1つである内部脅威の検知に対処するためにデータサイエンスを使用する方法について概要をご覧ください。

ユーザーとエンティティ行動分析 (UEBA) 機能を備えるセキュリティ情報イベント管理 (SIEM) プラットフォームの主な利点として、データサイエンティストがいなくてもセキュリティのユースケースを解決できることが挙げられます。プラットフォームが「データサイエンスの実行」に伴う複雑性を遮断するため、セキュリティオペレーションセンター (SOC) のスタッフはエンタープライズを攻撃から安全に保つことに専念できます。内部で発生していることを正確に知りたい場合は、最も重要で見つけにくいユースケースの1つである内部脅威の検知に対処するためにExabeam Security Management Platform (SMP) がデータサイエンスを使用する方法の概要をこの記事で紹介します。

内部者は組織によって信頼されています。内部者がビジネス活動を妨害したり知的財産や機密データを盗んだりすると、財務、規制、評判面での波紋により桁外れの後遺症をもたらす恐れがあります。SOCにとっての大問題は、内部者がITリソースの使用を認められていることです。旧式の相関ルールを使った従来のセキュリティツールでは、明らかに承認を得た行為に潜む悪意を見抜くことはほぼ不可能です。

静的相関ルールに内在するこうした限界により、ITセキュリティと管理ソリューションは機械学習を活用する方向へシフトしています。このアプローチでは悪意のある活動を特定するために、膨大な量のオペレーションとセキュリティに関する利用可能なログデータをデータエンリッチメントと組み合わせて活用しています。セキュリティ業界はこのデータに焦点を置くアプローチをユーザーとエンティティの行動分析と呼んでいます。内部脅威ユースケースに対処するためにデータサイエンスが利用される方法に関して見ていきましょう。

異常検知に静的分析を利用

Exabeamでは内部脅威のユースケースに教師なし学習手法を採用し、ユーザーの正常行動をプロファイルしてそこから逸脱する行動を警告します。この手法が採用される理由は内部の脅威に関連するデータ量が少ないためです。伝統的な教師あり機械学習では正確な結果を得るためにより多くの量のデータが必要です。教師なし学習は統計と確率分析に基づいており、UEBAを実装する主な技術手段となっています。

統計分析の使用はUEBAソリューションがイベントの正常性をプロファイルするのに役立ちます。図1には、3種類のプロファイルデータの例がヒストグラム形式で表示されています。プロファイルされたヒストグラムまたはクラスター分析から発生確率が高いと判断されるイベントは無害とみなされます。確率の低い正常値から離れたイベントは異常でありセキュリティイベントと相関します。これはSOCアナリストが膨大な量のログデータを手動で移動させて意味を解明しようとしているようなもので、機械の方がより多くのデータをより短時間により高い精度で自動的に処理する点のみ異なります。統計と確率分析はUEBAが正常行動を特定する基盤です – また、内部者による悪意ある行動が疑われる異常な逸脱を特定する基盤でもあります。

図1：異種データを含むヒストグラム

ネットワークインテリジェンスのコンテキスト情報の逸脱

コンテキスト情報はネットワークユーザーとエンティティのラベル付き属性とプロパティで構成されます。この情報は異常イベントのリスクの較正、アラートの選り分けと確認を裏付けるために不可欠です。

コンテキストが由来するユースケースの例にはサービスアカウントの推定、アカウント解明、私用メールの識別が含まれます。サービスアカウントはアセットと権利の管理に使用されるため特権レベルが高く、悪意のある内部者にとって貴重であるにもかかわらず、大規模なIT環境ではめったに追跡されません。サービスアカウントと一般スタッフのユーザーアカウントでは異なる行動が見られます。データサイエンスはActive Directory (AD) のテキストデータを分析したり行動上の手がかりに基づきアカウントを分類したりして、未知のサービスアカウントを見つけることができます。このようにして、内部者に悪用されている潜在リスクの高いこのアカウントに目が届きやすくします。

アカウント解明手法を使うと複数のアカウントを持つユーザーのセキュリティ状況を見ることができます。個々のアカウント単位の活動ストリームは伝統的なセキュリティツールでは正常に見えても、同じユーザーに属する複数のアカウントの全体的活動を見ると注目すべき異常が見て取れる場合があります。こうした状況は内部者が正規アカウントにログインしてから未接続の別のアカウントに切り替えていつもと違う行動を取るときによく発生します。データサイエンスによりアカウントを解明すると、活動データを調べ、2つのアカウントが同じユーザーのものかどうか判断できます。

私用メールアカウント経由のデータ送出は悪意ある内部者がよく使う攻撃経路です。例えばユーザーが個人のウェブメールアカウントにリンクし、通常より大容量の添付ファイルを送信したとします。過去の行動データに基づき、外部のメールアカウントを内部のユーザーと関連付けることができるため、将来における悪意のある内部者によるデータ流出リスクに目を光らせることができます。

メタ学習で誤検出を制御

誤検出は時間をムダにするため、多忙なセキュリティアナリストがアラート疲れを起こす原因となります。一部の指標は他のものより精度が高く、統計的強度が弱い指標は誤ってアラートを発する傾向があります。データサイエンスを使ったメタ学習はUEBAシステムが独自の行動から自動的に学習し、検知パフォーマンスを向上できるようにします。例えば、データ主導の調整により最初に専門家が割り当てたスコアを調整するのに役立ちます（図2を参照）。スコアを調整する際は、集団全体およびユーザーの履歴内でアラートのトリガーイベントと頻度が調査されます。

誤検出を制御する別の方法として、インテリジェンスを使った不要なアラートの抑制が挙げられます。こうした履歴に基づくメタ学習により、UEBAシステムは推奨システムを自動的に構築できるようになり、アセットへのユーザーの最初のアクセスが想定内であるかどうかを予測します。想定内である場合、対応アラートはリスクスコアを加算することなく抑制され、不要な誤検出を最小化します。

図2：専門知識とデータ主導の調整に基づくスコアの付与

結論

内部脅威の検知に固有の課題は相関ルールという従来の手段では対処できません。UEBAで採用される統計と確率に基づく手法はこの種の脅威にとって最も有望なソリューションを提供します。ただし、すべてのケースを解決する万能のアルゴリズムはありません。上述した手法のように、複数の角度からデータを中心に、内部脅威を検知する手法が必要です。企業のSIEMで利用可能な既存データの分析にデータサイエンスを活用する最新アプローチは、内部脅威を効果的に検知する新しい可能性を開いています。このトピックに関する詳細な情報が必要な場合は、筆者の元の記事『Cybersecurity: A Peer-Reviewed Journal』2018 – 2019年冬号Volume 2 / Number 3の211～218(8)ページをご参照いただくか、こちらからダウンロードしてください。