教師なし学習・数学的アプローチで検知―「Interset UEBA」で実現する、内部脅威対策

探索・収集・漏洩と、あらゆる段階・条件での異常を検出

　では、Intersetはどのような場面での異常検知ができるのだろうか。宮崎氏は、まず転職を機に内部不正の情報漏洩をおこなうケースを例に説明した。

　「情報漏洩一つをとっても、いくつか段階を踏んで行われます。悪意のある従業員は、まず共有ドライブを徘徊するような行為を行います。多くのドライブやフォルダにアクセスするだけではなく、実質休眠しているようなフォルダや、他部署のフォルダなど様々な物色を行います。次に、自分の端末に目的のファイルを移すなどします。ここまで情報漏洩の準備段階で、探索、収集といった段階ですが、Intersetはこれら準備段階を捕らえるためのモデルがそれぞれ数十含まれています。多くの場合、ここで気づくことができますが、仮に次の情報漏洩の段階までいっても見逃しません。Intersetは情報漏洩を短期、中期、長期のように様々な時間単位で検知を行っています。例えば、数ヶ月かけてゆっくり抜き出すような不正の検知も可能です。Low and Slowな行動や情報漏えいは多くのセキュリティソリューションが苦手とするところですが、Intersetでは検知が可能です」。

他のセキュリティ製品では発見不可、Intersetだからこそ即発見

　さらに宮崎氏は、他のセキュリティ製品では見つからなかった内部不正が、Intersetを導入したことで即発見につながった象徴的な事例も紹介した。

　「あるお客様の事例で、Intersetを導入したことで、今まで全く気づいていなかった内部不正を発見した例があります。Intersetを導入して、過去に2名の従業員による私的な情報資産の盗難があったことを、即座に発見しました。実はこのお客様はIntersetを導入する前に数億円を投じて、様々なセキュリティソリューションを導入してきたようなのですが、そういったものではこのインシデントを発見することができませんでした。結果的にインシデント発生からIntersetが導入されるまでの約1年間、全く情報資産の盗難に気づいていなかったそうです。この事例では、Interset導入直後に過去ログを利用しています。過去ログを利用することで、導入から非常に短時間でIntersetの検知効果を実感できるケースがあります。またこのお客様は、運用を継続することで、2週間後にも従業員による類似した情報資産の盗難を、複数発見したのです」

　新型コロナウイルスの影響で在宅勤務が増えているが、そこでもIntersetは有効だという。例えば、データモデルにVPNに関する検知モデルも用意されているため、社外からの利用についても監視は有効だ。また、宮崎氏は「CrowdStrikeなどのEDR（Endpoint Detection and Response）製品と Interset の組み合わせはテレワーク環境の監視に非常に相性が良いです。EDRがインターネット経由でログを直接収集し、それをIntersetが分析することができます。EDRはログソースとして非常に優秀で、1つのログソースとしては、かなり広範囲の検知ができる場合があることを確認しています」と説明した。

データモデルを増やし、ほかの製品との連携機能強化も推進

　リスクの高い行動をいち早く見つけて対処を促せるInterset。今後も検知強化のため、データモデルを追加していくという。今後について宮崎氏は「ビルドインのモデルだけでなく、高度なニーズに向けた機能も提供する予定です。たとえば、自社のデータサイエンスチームが作った検知モデルを利用できる『BYOM（Bring Your Own Model）』です。運用面では、弊社で提供しているビッグデータの分析基盤であるVertica Analytics Platform（ヴァーティカ、以下Vertica）の実装や、ArcSightという非常に歴史あるSIEM製品をもっているのですが、その製品との連携強化を予定しております」と構想を語った。

　最後に福田氏は「Intersetは非常に個性ある製品なので、単独の製品としてプッシュしていきます。一方で、弊社は一般的なセキュリティベンダーと違って運用面も含めたソリューションを展開していますので、その点も差別化できるポイントと考えています。脅威の検知だけでなく、管理対象への確認を促す、パッチを適用する、ネットワークから外すなどの連携を提案できます」と、同社の幅広い製品ラインナップによるメリットをアピールした。