絞り込み検索
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
2021.11.17技術ブログ

従業員の不正を防ぐ!内部不正検知システムUEBA/XDR

業務環境や働き方の多様化に伴い、内部不正リスクが増大している。内部不正対策には、ログの分析による従業員の監視が必須だが、人の目だけでは網羅的な分析は不可能である。そこで必要となるUEBA/XDRという技術と運用ポイントをお伝えする。

目次

1.内部不正とは

組織における内部不正リスクは、かなり前から問題視されていますが、2021年に入ってからも大手企業での内部不正による被害が何件も報道されており、企業が常に意識すべきセキュリティリスクとなっています。情報処理推進機構(IPA)が発表している『IPAの10大脅威(※1)』の組織編でも、毎年10位以内に取り上げられています。
しかし、内部不正は手段が単純ではなく、「組織内の業務や事情を理解している人」や「特権ID等、機密情報へのアクセス権を持っている人」がセキュリティの抜け穴を利用して行うことも多く、対策を打つのが難しい領域です。更に、昨今増加しているリモートワーク等働き方の多様化により、不正を行う人の背景や手段自体もより一層複雑になってきています。

(※1)情報セキュリティ10大脅威 2021

https://www.ipa.go.jp/security/vuln/10threats2021.html

2.内部不正対策には「監視」が必須

そこで求められるのが、従業員の「監視」です。
「監視」すべき対象は、「機器のログ」(パソコンの端末、AD等の認証機器、その他セキュリティデバイス等)です。リモートワークで従業員を物理的には監視できないにしても、利用している機器のログを集約して監視・分析することで、働く場所を問わず従業員の業務内容を把握でき、内部不正と疑われる行為も発見することができます。
ただし、大量のログを取得して保存するだけでは内部不正行為の発見にはつながらないため、取得したログを分析し、その中から不正を見つけるための判断基準や方法を用意する必要があります。

3.内部不正行為の特徴

内部不正は手法が多様化・複雑化してきているものの、基本的には『普段の業務とは異なる怪しい行為』から発生することが多いです。

たとえば、

  • 『“普段はアクセスしないサーバ”に、アクセスしている』→実は、業務外目的で機密情報を探していた
  • 『“普段は送付していない宛先”に、添付メールを送付している』→実は、私用のメールアドレスに業務情報を漏洩させていた
  • 『“普段はアップロードしないような大きいサイズのファイル”を、クラウドサイトにアップロードしている』→実は、多数の業務用データを社外へ持ち出していた

等が例として挙げられます。

背景や手法が複雑化していても、『普段の業務』と乖離している行為を洗い出すことができれば、それが内部不正行為の発見の第一歩になります。

図1:内部不正行為の特徴

図1:内部不正行為の特徴

4.UEBA/XDRを利用する

当然、人の目だけでは、複数の機器のログを全て網羅的に分析して『普段の業務とは異なる怪しい行為』を導き出すのは不可能です。それを実現することができるのが、UEBA(User and Entity Behavior Analytics)と呼ばれるシステムです。
UEBAはまず対象となる機器のログを読み込んで分析し、『普段の業務』の状態を機械学習します。たとえば図1の例で言うと、普段の業務で利用する「サーバ情報」、「宛先メールアドレス情報」、「ファイルのアップロードサイズ情報」等を学ぶことになります。そして学習した『普段の業務』の情報をもとに、取得するログに対して分析を行い、普段は利用されていない「サーバ情報」、「宛先メールアドレス情報」、「ファイルのアップロードサイズ情報」の情報を見つけると、『普段の業務とは異なる怪しい行為』として判断し、アラートを上げます。これが基本的なUEBAの動きです。
この仕組みを利用すれば、手法自体が複雑化していたとしても、『普段の業務とは異なる怪しい行為』として効率的に内部不正を検知させることができます。
また最近では、検知後の自動対応機能も充実化し、XDR(eXtended Detection and Response)として扱われることも増えてきました。XDRの自動対応機能を活用すれば、検知後迅速な処置を実施し、調査時間の削減につなげることもできます。

図2:UEBA及びXDRイメージ

図2:UEBA及びXDRイメージ

5.UEBA/XDRを運用する上で

UEBA/XDRは、内部不正につながる『普段の業務とは異なる怪しい行為』を検知するのに非常に効果的です。ただし検知した行為の中には、内部不正以外の行為が含まれる場合もあります(例:普段することのない業務を珍しく実施する必要があった場合等)。そのような場合には、検知ルールや自動対応機能をチューニングする等運用上の工夫も考える必要が出てきます。
弊社では、様々なお客様事例または弊社社内での運用事例も通して、UEBA/XDRの初期設定やチューニングノウハウを豊富に所有しております。もしお困りのことがございましたら、ぜひ弊社までお気軽にお問合せください。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ