コメント 注目を集めるコンピュータ セキュリティ侵害のたびに、関与する組織に関係なく、同様の失敗のパターンが明らかになるというのは苛立たしいことです。
繰り返し発生する問題の一つとして、従業員の不正行為やログイン情報の漏洩をIT部門が阻止するのが難しいことが挙げられます。これは最終的に損害や機密データの漏洩につながります。では、なぜでしょうか?
企業は、セキュリティ障壁、誤検知、複雑さによって作業が妨げられ、作業速度が低下することなく、スタッフがネットワークにアクセスして生産性を維持できるようにしたいと考えているため、内部者による攻撃を検出して阻止することは困難です。
しかし、効果的な管理が欠如しているため、顧客データがダーク ウェブ上に現れたり、恐喝の脅迫の一環としてサンプルが上司に電子メールで送信されたりして、組織はネットワーク侵害に気付くことになります。
これは、ベライゾンの最新のデータ漏洩調査報告書(DBIR)で、灯台のように明るみに出た問題です。この報告書は、2017年10月までの12ヶ月間に報告された2,216件のネットワーク侵害と、65カ国で発生した53,000件のセキュリティインシデントを網羅しており、そのうち28%は何らかの形で内部関係者が関与していると結論づけています。
興味深いことに、サイバースパイ活動はより大きな脅威とみなされることが多いものの、実際にはわずか310件のセキュリティインシデントに過ぎず、既知の侵害は151件にとどまっています。これは、「組織リソースの承認されていない、または悪意のある使用」と定義される特権の不正使用とは対照的です。特権の不正使用は212件の侵害と10,556件のインシデントに上り、記録された全インシデントのほぼ4分の1を占めています。
ベライゾンの保護対象医療情報データ漏洩報告書(PHIDBR)における医療業界の内訳はさらに鮮明で、1,368件のネットワーク漏洩のうち半数以上が内部関係者によるものでした。動機が明らかになったケースでは金銭目的が最多でしたが、94件は「面白半分の好奇心」が原因とされていました。これは、従業員が有名人や親戚、友人の医療記録を覗き見したことを指しています。
グラウンドホッグ・デー
かつては、内部関係者とはファイアウォールの組織側に位置する従業員と考えられていました。しかし、この考え方はもはやほとんど意味をなさなくなっています。今日のネットワークには、ネットワークの外部にいるにもかかわらず内部関係者とみなされる多数のパートナーや請負業者、そして多数のリモートユーザーがアクセスしています。重要なのは、ユーザーの認証情報がどこにあるかであり、ユーザーがどこにいるかではありません。
IT セキュリティの失敗に関する報告書を読むのは気が滅入る娯楽ですが、そこから重要な学びが得られます。
一つ目は、サイバーセキュリティ対策を外部の攻撃者のみに焦点を当てるのは誤った戦略であるということです。二つ目は、侵害報告や侵入につながった失敗は過去のことであり、現在何が起こっているかを示すものではないということです。Verizonのページにハッカー侵入の記録が残された企業の多くは、おそらく何年も、あるいは何十年もの間、同じやり方で対応してきたのでしょう。数ヶ月、あるいは数年後には、多くの組織は、内部関係者がセキュリティ侵害においてどのような役割を果たしたのか、あるいは果たした役割があるのかさえ、はっきりと把握できていないでしょう。
「脱獄者」の監視
内部不正行為者への論理的な解決策は、ユーザーアクティビティ監視(UAM)とユーザーおよびエンティティ分析(UEBA)のどちらか、あるいは両方ですが、一体何を監視すべきでしょうか? トラフィックは一つの可能性です。内部不正者は、盗んだデータをネットワークから持ち出す必要があるため、防御側はトラフィックを検査し、アウトバウンド接続、新規アカウント(おそらく不正アカウント)の作成、通常とは異なるメールやデータベース検索、大容量印刷ジョブ、USBドライブの不審な使用など、貴重なデータへのアクセスや流出につながる可能性のあるもののいずれか、あるいは複数の組み合わせがないか確認します。
実際には、このように熟練した内部関係者の攻撃者を見つけるのは、干し草の山から針を探すようなものです。分析すべきレイヤーやプロトコルが多すぎる上に、確認すべきセキュリティログも多すぎる上に、この種の監視をリアルタイム検知につなげる時間も十分にありません。少なくとも、組織が内部者リスクを抑えるためにデータ損失防止(DLP)などの多層的な技術を導入する中で、セキュリティ対策が無秩序に拡大する恐れがあります。リスクに基づいて選別し、コンピュータアクティビティから不正行為を分析する、大まかなユーザープロファイリングの方が迅速と言えるでしょう。
一歩引いて考えてみると、ユーザー行動分析(UBA)とその兄貴分であるユーザーおよびエンティティ行動分析(UEBA)が、泥沼からの脱出路の一つとして見えてきた理由を理解するのは難しくありません。UEBAは、単に静的な一連のルールに照らして内部ユーザーまたは内部アカウントを測定するのではなく、そのユーザーが通常通り行動しているのか、それともそのパターンから逸脱しているのかを問いかけます。もちろん、「通常」の状態を理解するには時間がかかりますが、一度導入すれば、そこからの異常な逸脱をより迅速に検出できるようになります。
リアルタイム検出 vs 内部者
UEBAを含む最前線のセキュリティシステムは、脅威をリアルタイム(またはほぼリアルタイム)で検知することを目指していることは自明です。複雑なのは、異常なイベントが検知された際に何が起こるか、その後のアクションをどの程度自動化すべきか、そしてどの時点で人間が介入する必要があるかといった点を設計することです。
これは外部からの脅威を検知する場合でも十分に困難ですが、内部関係者を相手にすると、さらに大きな課題が生じます。外部からの攻撃は、ネットワークトラフィックと従来の侵入兆候(例えば、マルウェアがPCから通常とは異なるドメインにアクセスするなど)を生成しますが、内部関係者がリスクの高い行動を取ったり、不正行為を行ったりした場合には、これらの兆候は発生しません。UEBAの概念的な強みは、内部と外部を区別しないことです。重要なのは、そのユーザーとユーザーアカウントにとって「正常」な状態と定義されるものです。イベントは、異常、非異常、またはその中間のいずれかになります。
ためらいもなく、繰り返しも、逸脱もせずに上司をハッキングできますか? AIは「いいえ」と答えます
続きを読む
これを実現するには、まず組織が貴重な資産を特定し、すべてのユーザーからのアクセスのベースラインを確立する必要があります。これは、ネットワーク内の様々なポイント間で、そして特にクラウドサービスとの統合で一般的になっているネットワーク外へのデータコピーを監視することを意味します。ユーザーの権限レベル、転送サイズ、転送時間、場所、データの送信先のIPアドレス、さらには失敗したログイン試行など、数多くの指標を評価する必要があります。
UEBAでは、この情報がデバイスやユーザーアカウント(管理者は複数アカウントを保有)とも相関付けられ、それらに関連する行動履歴と比較されます。UEBAの主張は、接続や行動パターンの微妙な変化を検知するために特別に構築された機械学習をオーバーレイすることで、セキュリティオペレーションセンターのチームメンバーが確認して介入できるよう、リアルタイム(通常は数秒から数分と定義されます)でアラートを生成できるというものです。
介入の具体的な手順はシステムによって異なります。ユーザーが権限を昇格しない限りデータのコピーを阻止するために介入するシステムもありますが、通常は人間による介入が優先されます。UEBAはセキュリティ監視を3次元的に理解する手段として特徴付けられていますが、熟練した監視なしに不正行為を阻止できる自動化システムには至っていません。
常に「しかし」がある
UEBAの魅力は、ビッグデータにデータを供給するセンサーを提供する既存のセキュリティ技術を、導入時に排除する必要がないことです。問題は、組織がどのようにしてUEBAを互いに差別化するかです。
どれも似たような原理で動作しますが、詳しく見てみると、必ずしもすべてが同じではない可能性があります。まず考慮すべき点は、UEBAはデバイス、アプリケーション、サーバーのIPアドレス、さらにはデータ自体を監視するパズルの「エンティティ」部分を処理する必要があるということです。これは、ユーザーの行動を文脈に沿って理解するために不可欠です。もう1つはビッグデータ自体です。システムのこの部分を支えるアーキテクチャは、技術的な検証に耐えられるでしょうか?UEBAシステムは、後者の部分を可能な限りすぐに実行でき、複雑なカスタマイズを必要とせずに済むようにする必要があります。
おそらく最大の課題は、UEBAをネットワークセキュリティチームが理解できるものにする必要があるということです。機械駆動型UEBAの多くは、専門的で入手困難なスキルに依存しているため、これを当然のことと見なすことはできません。特に、ベンダーにベースライン設定に使用している不透明なアルゴリズムの根拠を説明するよう求める場合はなおさらです。UEBAを用いたインサイダーリスクの抑制は、将来のある理想的な時点ではなく、常に今日その約束を果たすシステムを目指すべきです。®
