ALSI (アルシー)

アルシー デジタルソリューションブログ

従業員の「異常行動」をログ分析で低価格に実現~セキュリティ専門人材不足の企業でも内部不正対策がスムーズに~


■テレワークを安全に継続するためには、外部脅威/内部脅威への備えが不可欠


テレワークの急速な拡大により、いつでもどこでも、どのデバイスからでも業務を行うことができるようになりました。

業務効率が格段に改善した一方で、テレワークのメリットを逆手にとったサイバー攻撃が増加しています。

さらには管理者や他の人の目が届かないことから、従業員が故意に機密情報を持ち出すような内部不正の脅威も増えているといわれています。


テレワークを安全に継続していくためには、外部からのサイバーアタックを防ぐ対策だけでは十分ではありません。

外部脅威とは異なる観点で従業員の行動を把握し、内部不正への対策をしていくことが不可欠です。




■「異常行動」とはどのようなものか


それでは従業員の行動を把握するためにはどのようなことが必要でしょうか。


従業員が「おかしな行動」「異常な行動」をしているかどうかを、システム的に監視して的確に検出するためには
多くの課題が存在しています。

例えばよくある失敗として、各部門における通常の従業員の行動を把握できていないために、単純にファイルの
ダウンロード数が多いだけで異常行動と判断してしまうこと、などが挙げられます。


ある時、特定の従業員が多くのファイルをダウンロードしていることを検知したとします。
ですが、この時点で多くのファイルをダウンロード=異常行動、と判断するのは早すぎます。

その従業員の通常の業務と比べて、ダウンロード数が多いと言えるのか、またダウンロードしたファイルをどのように
扱っていたのかをあわせて分析しなければ、その行動が本当にリスクをはらんだ異常行動であったかわかりません。

業務の都合上、たまたま資料のダウンロード回数が多くなることや、業務内容によって普段から他の従業員よりも
資料ダウンロード回数が多い、というようなことは往々にして発生します。 


なにをもって異常行動と判断するのか、「異常行動」を定義するためには、まずは平常時に各従業員がどのような
動きをしているのかを把握・分析して、「正常」「異常」の定義を明確にすることが必要です。




■有効だが、高価で専門知識が必要なUEBA(ユーザーおよびエンティティのふるまい解析)


そのために有用なのがUEBA(User and Entity behaivier analytics/ユーザーおよびエンティティのふるまい解析)です。

UEBAは最新のデータ技術を用いて、従業員(ユーザー)の行動を分析して学習し、内部・外部からの攻撃に備えるものです。

ところが、UEBAはセキュリティの高度な専門知識をもつ人材が必要なうえ、高額な費用がかかる傾向があり、
簡単に導入することは難しいのです。




■Sumo Logic 異常行動分析オプションで従業員の異常行動を検知


そこでアルプス システム インテグレーション株式会社(ALSI)がご提案しているのが、クラウドSIEMソリューション
「Sumo Logic」で収集したログを活用して、簡易的なUEBAを実施する「異常行動分析オプション」です。


Sumo Logic 異常行動分析オプションの強み
1.既存のユーザー行動分析(UEBA※)に比べて低価格でシンプルに実施することができる

2.導入時の難しい定義、設定、チューニングを ALSI のコンサルティングにより支援

3.オリジナルダッシュボードにより従業員の異常行動をいち早く発見し対策ができる

Sumo Logic 異常行動分析オプションは、Sumo Logicで収集できる各種システム、アプリケーション、
サービスなどのログを分析・可視化して従業員の異常行動を分析するサービスです。


異常行動分析に必要な、導入時の複雑な設定や、各企業に合った異常行動の定義、チューニングなどを
コンサルティング支援し、従来のUEBAと比較して低価格かつシンプルな形で行動分析を開始することができます。


また本オプションでは企業ごとのポリシーや業務内容にあわせたオリジナルダッシュボードを作成します。

各種ログの分析により平時の従業員の行動を把握し通常時の値を定義することにより、閾値を超えた異常行動の検出を実現します。


●●主な支援内容●●

・適切な分析が可能なログの選別

・各企業に合った異常行動の定義

・分析クエリ(分析用オリジナルダッシュボード)の開発




異常行動分析オプションのユースケース:クラウドの共有サーバー×Webフィルタリング


クラウドの共有サーバー(SharePoint Online)内の機密情報を扱うサイトから、普段よりも多くのファイルをダウンロードした
ユーザーを検出します。


さらに、Webフィルタリング(InterSafe WebFilter)のアクセスログを照合して、外部クラウドストレージへの
アクセス形跡を調査します。

このように複数のログを参照することで、機密データをダウンロードして外部に持ち出そうとしている可能性が高いと
判断することができます。

sl21.png




このような企業様に特におすすめです


Sumo Logic 異常行動分析オプションは、次のような企業様に特におすすめです。

・従業員の行動分析を検討している企業様

・内部不正による情報漏洩対策を検討している企業様

・セキュリティ人材の育成、確保にお困りの企業様

1つでも当てはまる場合には、お気軽にアルプス システム インテグレーション株式会社にご相談いただければ幸いです。

またALSIでは毎週、各種セキュリティ対策やクラウドサービスのログ管理などについての疑問やお悩みを
解決するヒントをご紹介するWebセミナーを開催しています。

お客様からのご相談に合わせてトピックを企画していますので、ぜひお知りになりたいことや
疑問、質問などをお寄せください。

▼毎週開催!20-30分で解説:Webセミナーの一覧はこちら

https://www.alsi.co.jp/event/



おすすめ記事

最新記事

Sumo Logic

Microsoft SQL ServerからSIEM製品へ乗り換え!増え続けるログのお悩みをSumo...

SIEMクラウドログ管理

Microsoft SQL ServerからSIEM製品へ乗り換え!増え続けるログのお悩みをSumo Logicで解消
Sumo Logic

世界最大のボットネット「911 S5」! Sumo Logicを使って社内のPCがボットネットに組み...

SIEMクラウドログ管理

世界最大のボットネット「911 S5」! Sumo Logicを使って社内のPCがボットネットに組み込まれていないかどうかをチェック!!
Sumo Logic

クラウドネイティブなログ分析基盤 Sumo Logic でセキュリティインシデント分析の効率化と高度...

SIEMクラウドログ管理

クラウドネイティブなログ分析基盤 Sumo Logic でセキュリティインシデント分析の効率化と高度化を実現しよう!