「相関分析ルールを活用すれば、不正の予兆を発見できる」SIEM×情報漏えい対策――マクニカ羽田野氏

　2014年はこうした内部脅威への対策が重要であることをあらためて認識させる事件が相次いだ。羽田野氏はそれらの事件を振り返りながら、内部脅威の特徴として、企業としての対応が難しいことを挙げた。

　「件数が非常に多く、被害の経路が複数ある。外部脅威による情報漏えいが169件だったのに対し、内部脅威による情報漏えいは同期間で1729件だったという調査がある。表面化していないケースは相当数あると思われる。また、内部脅威は、誤操作や管理ミス、紛失、盗難など、情報が漏えいする経路が多くある。それが企業の対応を難しくしている」(羽田野氏)

　被害額も大きいことも内部脅威の大きな特徴だ。経済産業省の調査で、内部脅威により漏えいした企業秘密はどのようなものかを見ると、82.5%が顧客情報・個人情報、38.5%が経営戦略に関する情報、34.4%が製造に関するノウハウ、といったように、企業にとって大きなインパクトのある情報が多く占めた（複数回答式）。

　また、実際に営業秘密の漏えいによって生じた損害については、1000万円未満が31.1%、1000万円～1億円未満が15.8%、1億円～10億円未満が4.4%、10億円以上が3.8%となっていた。10億円以上の損害が出ているケースが約4%もあることも驚きだが、羽田野氏が問題とするのは同じ調査で損害額が「わからない」という回答が44.8%も占めていることだ。「発生件数を把握していないケースが多いうえ、被害額もはっきりとわからない。内部脅威の対策の難しさを示している」というわけだ。

SIEMは内部脅威にも有効

　羽田野氏によると、内部脅威に対しては、内部ポリシー、教育、個人意識、人事評価、ソリューションといった側面から総合的に対応していくことが求められる。そんななか、ソリューションの面で効果が期待できるのが、SIEMというソリューションだ。SIEMとは、Security Information and Event Managementの略で、あらゆるデータを統合管理し、そこから注目すべきデータを抽出するアプローチのこと。相関分析の手法を使って、グレーな脅威を検知したり、インシデントの調査、原因分析、対応に役立てたりできる。

　データとしてはたとえば、セキュリティイベント、ユーザー識別情報、認証情報、ロケーション、脆弱性スキャンデータ、ネットワークフロー、OSイベント、デバイスやアプリケーションのログファイル、アプリケーションのコンテンツ、データベースのトランザクションなどが対象になる。これらを収集し、可視化、分析、管理することでいちはやく脅威に対抗していくという。

　「セキュリティ対策には、予防的対策と発見的対策があり、両方のバランスが大切。特に発見的対策は、100%予防するのは困難だという認識のもとで取り組み、既存の防御をすり抜ける"グレーな脅威"の判別をいち早く検知することが重要になってくる」と羽田野氏。ここで、グレーな脅威というのは、正常なオペレーションかどうかを見分けることが難しい脅威のことだ。

　SIEMというと、不正アクセスやサイバー攻撃のように、外部脅威への対抗策と思われることが多い。たとえば、標的型攻撃で、長期にわたって単発的なアクセスを繰り返す場合は、通常のアクセスと見分けがつきにくい。このため、SIEMをつかって検知するといったことが行われる。こうしたアプローチは、外部脅威だけでなく、内部脅威にも有効だ。「内部不正によるアクセスは、権限のあるユーザーによる通常のオペレーションと見分けがつきにくい。そこでSIEMを使って各種ログを集約し、相関分析することで、それらの兆候をつかむ」(羽田野氏)わけだ。