SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day レポート(AD)

「相関分析ルールを活用すれば、不正の予兆を発見できる」SIEM×情報漏えい対策――マクニカ羽田野氏

 企業にとっての脅威は、もはや外部からのサイバー攻撃だけではない。内部犯行による情報漏えい対策の検討は、守らなければならない情報を持つすべての企業における急務となっている。「Security Online Day 2014」では、マクニカネットワークスの羽田野栄志氏が「SIEMで実現する情報漏えい対策~社内外から迫りくる、多様な脅威から企業を守る~」と題して講演を行なった。羽田野氏は、ログを統合分析して脅威に対応する「SIEMソリューション」がどのように内部不正防止に役立つかを解説した。

内部脅威の対策はなぜ難しいのか

 企業で起こるセキュリティ事故のほとんどは、誤操作や管理ミス、紛失などだ。内部犯罪や内部不正、目的外使用なども少なくない。一方、不正アクセスやサイバー攻撃などの外部脅威は内部脅威の10分の1ほどにとどまる。かねてから指摘されているように、企業が脅威に対抗するうえでは、こうした内部脅威への対策をおろそかにすることはできない。

マクニカネットワークス株式会社 ネットワーク第1事業部プロダクト第1営業部 羽田野 栄志氏

▲マクニカネットワークス株式会社 
ネットワーク第1事業部 プロダクト第1営業部
羽田野 栄志氏

 2014年はこうした内部脅威への対策が重要であることをあらためて認識させる事件が相次いだ。羽田野氏はそれらの事件を振り返りながら、内部脅威の特徴として、企業としての対応が難しいことを挙げた。

 「件数が非常に多く、被害の経路が複数ある。外部脅威による情報漏えいが169件だったのに対し、内部脅威による情報漏えいは同期間で1729件だったという調査がある。表面化していないケースは相当数あると思われる。また、内部脅威は、誤操作や管理ミス、紛失、盗難など、情報が漏えいする経路が多くある。それが企業の対応を難しくしている」(羽田野氏)

 被害額も大きいことも内部脅威の大きな特徴だ。経済産業省の調査で、内部脅威により漏えいした企業秘密はどのようなものかを見ると、82.5%が顧客情報・個人情報、38.5%が経営戦略に関する情報、34.4%が製造に関するノウハウ、といったように、企業にとって大きなインパクトのある情報が多く占めた(複数回答式)。

 また、実際に営業秘密の漏えいによって生じた損害については、1000万円未満が31.1%、1000万円~1億円未満が15.8%、1億円~10億円未満が4.4%、10億円以上が3.8%となっていた。10億円以上の損害が出ているケースが約4%もあることも驚きだが、羽田野氏が問題とするのは同じ調査で損害額が「わからない」という回答が44.8%も占めていることだ。「発生件数を把握していないケースが多いうえ、被害額もはっきりとわからない。内部脅威の対策の難しさを示している」というわけだ。

内部脅威による損失 出所:マクニカネットワークス

SIEMは内部脅威にも有効

 羽田野氏によると、内部脅威に対しては、内部ポリシー、教育、個人意識、人事評価、ソリューションといった側面から総合的に対応していくことが求められる。そんななか、ソリューションの面で効果が期待できるのが、SIEMというソリューションだ。SIEMとは、Security Information and Event Managementの略で、あらゆるデータを統合管理し、そこから注目すべきデータを抽出するアプローチのこと。相関分析の手法を使って、グレーな脅威を検知したり、インシデントの調査、原因分析、対応に役立てたりできる。

SIEMとは、あらゆるデータを統合管理し、そこから注目すべきデータを抽出するアプローチ 
出所:マクニカネットワークス

 データとしてはたとえば、セキュリティイベント、ユーザー識別情報、認証情報、ロケーション、脆弱性スキャンデータ、ネットワークフロー、OSイベント、デバイスやアプリケーションのログファイル、アプリケーションのコンテンツ、データベースのトランザクションなどが対象になる。これらを収集し、可視化、分析、管理することでいちはやく脅威に対抗していくという。

 「セキュリティ対策には、予防的対策と発見的対策があり、両方のバランスが大切。特に発見的対策は、100%予防するのは困難だという認識のもとで取り組み、既存の防御をすり抜ける"グレーな脅威"の判別をいち早く検知することが重要になってくる」と羽田野氏。ここで、グレーな脅威というのは、正常なオペレーションかどうかを見分けることが難しい脅威のことだ。

 SIEMというと、不正アクセスやサイバー攻撃のように、外部脅威への対抗策と思われることが多い。たとえば、標的型攻撃で、長期にわたって単発的なアクセスを繰り返す場合は、通常のアクセスと見分けがつきにくい。このため、SIEMをつかって検知するといったことが行われる。こうしたアプローチは、外部脅威だけでなく、内部脅威にも有効だ。「内部不正によるアクセスは、権限のあるユーザーによる通常のオペレーションと見分けがつきにくい。そこでSIEMを使って各種ログを集約し、相関分析することで、それらの兆候をつかむ」(羽田野氏)わけだ。

本講演資料(PDF版)を無料ダウンロード!

■PDF資料:『SIEMで実現する情報漏えい対策~社内外から迫りくる、多様な脅威から企業を守る~』

 企業にとっての脅威は、もはや外部からのサイバー攻撃だけではありません。内部犯行による情報漏えい対策の検討は、守らなければならない情報を持つ全ての企業における急務となっています。本資料では、ログ統合ソリューションMcAfee SIEMを中核とした情報漏えい対策を始め、優れた分析機能を持つプラットフォームだからこそ実現できる、社内外の脅威から企業を守る実践手法をご説明します。

資料ダウンロードはこちら

McAfee SIEMで情報漏えいリスクを可視化

 マクニカネットワークスがこのSIEMソリューションとして展開しているのが「McAfee SIEM」だ。羽田野氏は、McAfee SIEMを使った具体的な内部不正の検知シナリオを2つ紹介した。

  1つは、業務時間外の機密情報アクセスとUSB持ち出しだ。機密情報へのアクセス権限を持つ内部関係者が深夜時間帯にファイルサーバへアクセスし、USBメモリーへコピーして持ち出したとする。この場合、システム的には、ファイルサーバのOS認証ログ、ファイルへのアクセスログ、USB機器に接続ログ、データのコピーログ、業務時間内かどうかのログが必要になる。また、それらのログを取得しておくだけでなく、それらを組み合わせて、どんなケースでどんな接続だったら不正かどうかを自動で判断して検知する必要がでてくる。McAfee SIEMでは、こうしたケースで、いくつかの検知ポイントを相関分析ルールへ落とし込み、不正持ち出しを自動検知することができるという。

 もう1つは、退職予定者による不正アップロードだ。退職予定者が引き継ぎ期間中に社内文書を個人のオンラインストレージへアップロードして持ち出したとする。このケースでは、ファイルサーバのOS認証ログ、オンラインストレージへの転送ログ、退職者のリストなどを組み合わせて、相関分析ルールに落とし込み、自動検知を実現するという。なお、USB機器やオンラインストレージへのアクセスやそのログは、McAfee DLPというデータ保護製品と連携して実現している。

相関分析ルール実装イメージ 出所:マクニカネットワークス

 羽田野氏は最後に「内部脅威は企業としての対応が難しい領域だ。SIEMによるリスク可視化は1つの解決策となる。相関分析ルールを活用すれば、不正の予兆を発見できる。予防と発見という対策をバランスよく行い、内部不正に対応してほしい」と訴えた。

本講演資料(PDF版)を無料ダウンロード!

■PDF資料:『SIEMで実現する情報漏えい対策~社内外から迫りくる、多様な脅威から企業を守る~』

 企業にとっての脅威は、もはや外部からのサイバー攻撃だけではありません。内部犯行による情報漏えい対策の検討は、守らなければならない情報を持つ全ての企業における急務となっています。本資料では、ログ統合ソリューションMcAfee SIEMを中核とした情報漏えい対策を始め、優れた分析機能を持つプラットフォームだからこそ実現できる、社内外の脅威から企業を守る実践手法をご説明します。

資料ダウンロードはこちら

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6422 2015/05/07 16:56

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング