セキュリティー・インテリジェンス

統合型ユーザー行動分析(UBA)による、内部脅威の可視性の向上

記事をシェアする:

サイバーセキュリティに関する事象は、増加傾向にあるだけでなく、これまでよりも破壊的で、より広範な機関や情報を標的にするようになっています。そして、ネットワーク内で発生する悪意のある活動すべての中心には、ユーザーがいます。通常は「インサイダー」と呼ばれるこうしたユーザーが、従業員、契約業者、または、悪用可能な危殆化された信用証明を持つ合法的なユーザーである場合もあります。

セキュリティオペレーションセンター(SOC)の分析担当者は、こうしたインサイダーの活動や行動、アセットの使用、知的財産へのアクセスを観察し把握するための行動分析ソリューションを実行する必要があります。すなわち、ユーザーの行動に隠された規則性やパターンを発見することで、保護したい知的財産に対する潜在的な脅威とリスクを明らかにする必要があるのです。

これまでのところ、多くの組織が、外部の脅威からのIT環境の保護に重点を置いており、境界防御に多額の投資をしてきました。しかし、境界を防御するように設計されたツールは、インサイダー脅威の検知と抑止においてはほとんど効果がありません。

インサイダー脅威の理解

内部からの攻撃は、ほとんどの組織で重大な懸念事項となっており、複数の調査によると、セキュリティ犯罪の最大60%がインサイダーによってもたらされていると発表されています。

内部ユーザーが関与する攻撃は、組織に特有の課題を突き付けます。ハーバード・ビジネス・レビュー誌は、次のように述べています。「インサイダーは、外部のハッカーよりもはるかに深刻な危害をもたらすことがある。なぜなら彼らは、ハッカーよりもはるかに容易にシステムにアクセスし、はるかに大きな機会を手にしているからだ。インサイダーがもたらす損害として、業務の中断、知的財産の損失、評判の悪化、投資家と顧客からの信用の失墜、メディアを含む第三者への機密情報の流出などがある。」

攻撃をもたらすのが悪意のある従業員であれ、不誠実な契約業者であれ、意図せぬ行為であれ、インサイダー脅威が起きた場合、迅速かつ効果的な対応が不可欠です。しかし、その妨げとなる難題が少なからず存在します。

悪意ある行動の検出

通常とは異なる活動は、インサイダー脅威の兆候である可能性があるため、こうした活動が特定できるように、特権のあるユーザーと優先度の高いアセットをモニタリングする必要があります。リスクのある行動は必ず注意の対象とし、それから該当するユーザーについて、継続的に評価と優先順位付け、そしてモニタリングしなくてはなりません。そして最終的に、脅威に対応するための是正措置を実施しなくてはならないのです。

今日のセキュリティチームは、非常に多くのベンダーからの大量のツール、そして過度に複雑なプロセスで身動きがとれなくなっています。このことは、データをまとめ、ユーザーの活動や行動、そしてユーザーがアクセスするアセットに対し、適切な可視性を与えなくてはならないSOCの分析担当者にとって、大きな困難を生じています。そしてこうした作業の大半は、手作業で行う必要があります。そのために生じる遅れは、分析担当者が有害な活動を検出する前に攻撃者が多大なダメージをもたらす状況を招きます。

セキュリティチームには、こうした現在のセキュリティ業務が直面する制約と現実を念頭に置いた上で、過度に複雑なセキュリティ業務をシンプル化できるように設計されたユーザー行動分析(UBA)機能を探すことが求められます。例えば、すでに精選されセキュリティインテリジェンス・イベント管理(SIEM)プラットフォームにロードされたログとフローデータを活用して、迅速に知見と行動を提供できる能力が必要です。この能力があれば、SOCの分析担当者は、ユーザーとアセットと脅威に対する可視性を常に維持することができます。

行動分析のシンプル化

IBMは、自社のSIEMプラットフォームにUBAを統合し、App Exchange上のアプリケーションを通じてこの能力を提供しています。SOCの分析担当者は、新たなツールについて学ぶ必要はありません。UBAアプリケーションが、すでにSIEMプラットフォーム内にある精選されたログとフローデータを活用し、知見を得るまでの時間をスピードアップします。

このアプリケーションは、特別に設計された、そのままで使用できる異常検出機能、行動ルール、分析機能を備えており、ユーザーの行動の変化を検出して、変則的な活動を継続的に可視化します。さらに、モニタリングと検出と調査を合理化したことで、セキュリティ分析担当者の予測力を高め、インサイダー脅威をより効率的に管理することが可能です。マウスを数回クリックするだけで、行動パターンを分析し、ユーザーのリスクをスコア化し、特定のインサイダーを調査の対象にしたり監視リストに追加したりすることができるのです。

こうした機能は、SOCの分析担当者にとって、悪意ある行動の発見を容易にします。UBAをSIEMプラットフォームに統合すれば、セキュリティ業務そして調査や対応を全般的に改善し、しかもSIEMを他のプラットフォームよりもはるかに優れたセキュリティオペレーションのプラットフォームへと変えることが可能になります。

(出典:Security Intelligence より訳出 “Increasing Visibility to Insider Threats With Integrated User Behavior Analytics (UBA)” BY ミラン・パテル 2016年7月27日)


⇒IBM Security QRadarのご紹介
SIEM+”インテリジェンス”でより高度なセキュリティー対策を

More stories
2020-01-08

【オンデマンドWebセミナー】IBM Securityで実現するハイブリッド・クラウド時代のセキュリティーセミナー

オンデマンドWebセミナーのご案内 IBM Securityで実現するハイブリッド・クラウド時代のセキュリティ […]

さらに読む

2019-12-26

【オンデマンドWebセミナー】IBM Cloud Pak for Securityで加速するハイブリッド・マルチクラウド時代のSOC オペレーション

オンデマンドWebセミナーのご案内 IBM Cloud Pak for Securityで加速するハイブリッド […]

さらに読む

2019-11-28

Emotet(エモテット)、約2カ月の沈黙を経て再び猛威を振るう・・対策は?

  2019年9月に、ポーランド語、ドイツ語のユーザーをターゲットとしたマルウェアが添付されたスパム […]

さらに読む