内部脅威対策のため、UEBAへの関心が高まっている
User and Entity Behavior Analytics(以下UEBA)とは、人物や端末などの振る舞いを分析して、異常な行動やリスクを検知する技術。膨大なログデータを機械学習なども活用しながら分析することで、より的確な検知ができるテクノロジであり、Intersetもそのひとつである。
マイクロフォーカスエンタープライズ プリセールス統括本部 ソリューションコンサルタントの宮崎 功氏に、企業のUEBAへの関心について聞くと「この数年で、日本国内においていくつも重大な内部不正事件があり、大きなニュースになりました。こういった背景を受けて注目度は急上昇しています。IPA(独立行政法人 情報処理推進機構)が発表した『情報セキュリティ10大脅威 2020』では、『内部不正による情報漏えい』が2位となりました。前年は5位でしたので、こういった点からも関心の高まりがわかります。また、内部不正の特徴として、解決まで時間がかかること、犯行が明らかになっても被害金額は多くの場合取り戻せないことがあります」と語った。
情報セキュリティ&ガバナンス技術本部プリセールスコンサルタント 宮崎 功氏(写真左)
プリセールス統括本部 統括本部長 福田 慎氏(写真右)
雇用の流動化やDXの推進がその背景にあり、転職時の情報持ち出しが増えている等が理由として挙げられるという。企業にとって重要情報である営業秘密情報や商品設計図などのファイルが漏洩した場合、それに投資した時間やコストを鑑みるとダメージが甚大なのは一目瞭然だ。しかしこのような被害が拡大する一方で、内部脅威にフォーカスしているセキュリティソリューションはあまり多くないのが実情だという。
Intersetは、内部脅威、未知の脅威、情報漏洩の3つにフォーカスしたソリューションで、これは現在企業が抱えている課題でもあり、かつ既存のセキュリティソリューションが苦手としている領域でもある。
宮崎氏に特徴を聞くと、「内部不正を見つけるのに、一般化された外部の脅威情報などは有効ではありません。必要なのはその組織自身とそこに所属する人の特徴です。そこで、Intersetはその『組織専用』の通常状態を学習し、そこからの異常の大きさを捉えるというアプローチをします。しかし、限られた視点からでは見つけるのは難しく、異常検知特有の誤検知にもなる。そこで、Intersetは450の機械学習によるモデルを用いて様々な観点からの通常状態の定義と異常の大きさ検知をします。そして、最終的にそれらを総合的に評価し、内部不正を見つけます」と述べた。
評価の元となるのが、ユーザーや端末の動作ログだ。Intersetは、ログを「教師なし学習」と「数学的アプローチ」によって分析して異常を検知する。マイクロフォーカスエンタープライズ プリセールス統括本部 統括本部長の福田 慎氏は「教師あり学習の場合は、一般的で共通な既知の情報を元にした検知となります。それ以外の異常は捉えにくいので、個々の組織のコンテキストが必要な内部脅威やこれまで経験していない脅威を捉える目的ではあまり有効ではありません」と学習方法の違いを説明した。
