SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(AD)

教師なし学習・数学的アプローチで検知―「Interset UEBA」で実現する、内部脅威対策

探索・収集・漏洩と、あらゆる段階・条件での異常を検出

 では、Intersetはどのような場面での異常検知ができるのだろうか。宮崎氏は、まず転職を機に内部不正の情報漏洩をおこなうケースを例に説明した。

 「情報漏洩一つをとっても、いくつか段階を踏んで行われます。悪意のある従業員は、まず共有ドライブを徘徊するような行為を行います。多くのドライブやフォルダにアクセスするだけではなく、実質休眠しているようなフォルダや、他部署のフォルダなど様々な物色を行います。次に、自分の端末に目的のファイルを移すなどします。ここまで情報漏洩の準備段階で、探索、収集といった段階ですが、Intersetはこれら準備段階を捕らえるためのモデルがそれぞれ数十含まれています。多くの場合、ここで気づくことができますが、仮に次の情報漏洩の段階までいっても見逃しません。Intersetは情報漏洩を短期、中期、長期のように様々な時間単位で検知を行っています。例えば、数ヶ月かけてゆっくり抜き出すような不正の検知も可能です。Low and Slowな行動や情報漏えいは多くのセキュリティソリューションが苦手とするところですが、Intersetでは検知が可能です」。

他のセキュリティ製品では発見不可、Intersetだからこそ即発見

 さらに宮崎氏は、他のセキュリティ製品では見つからなかった内部不正が、Intersetを導入したことで即発見につながった象徴的な事例も紹介した。

 「あるお客様の事例で、Intersetを導入したことで、今まで全く気づいていなかった内部不正を発見した例があります。Intersetを導入して、過去に2名の従業員による私的な情報資産の盗難があったことを、即座に発見しました。実はこのお客様はIntersetを導入する前に数億円を投じて、様々なセキュリティソリューションを導入してきたようなのですが、そういったものではこのインシデントを発見することができませんでした。結果的にインシデント発生からIntersetが導入されるまでの約1年間、全く情報資産の盗難に気づいていなかったそうです。この事例では、Interset導入直後に過去ログを利用しています。過去ログを利用することで、導入から非常に短時間でIntersetの検知効果を実感できるケースがあります。またこのお客様は、運用を継続することで、2週間後にも従業員による類似した情報資産の盗難を、複数発見したのです」

 新型コロナウイルスの影響で在宅勤務が増えているが、そこでもIntersetは有効だという。例えば、データモデルにVPNに関する検知モデルも用意されているため、社外からの利用についても監視は有効だ。また、宮崎氏は「CrowdStrikeなどのEDR(Endpoint Detection and Response)製品と Interset の組み合わせはテレワーク環境の監視に非常に相性が良いです。EDRがインターネット経由でログを直接収集し、それをIntersetが分析することができます。EDRはログソースとして非常に優秀で、1つのログソースとしては、かなり広範囲の検知ができる場合があることを確認しています」と説明した。

データモデルを増やし、ほかの製品との連携機能強化も推進

 リスクの高い行動をいち早く見つけて対処を促せるInterset。今後も検知強化のため、データモデルを追加していくという。今後について宮崎氏は「ビルドインのモデルだけでなく、高度なニーズに向けた機能も提供する予定です。たとえば、自社のデータサイエンスチームが作った検知モデルを利用できる『BYOM(Bring Your Own Model)』です。運用面では、弊社で提供しているビッグデータの分析基盤であるVertica Analytics Platform(ヴァーティカ、以下Vertica)の実装や、ArcSightという非常に歴史あるSIEM製品をもっているのですが、その製品との連携強化を予定しております」と構想を語った。

 最後に福田氏は「Intersetは非常に個性ある製品なので、単独の製品としてプッシュしていきます。一方で、弊社は一般的なセキュリティベンダーと違って運用面も含めたソリューションを展開していますので、その点も差別化できるポイントと考えています。脅威の検知だけでなく、管理対象への確認を促す、パッチを適用する、ネットワークから外すなどの連携を提案できます」と、同社の幅広い製品ラインナップによるメリットをアピールした。

問い合わせ先

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13139 2020/08/12 10:20

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング