アカウントハッキング対策の最前線――NRIセキュア大島修氏が解説する不正アクセスの課題と対策

コンテクストから不正アクセスを検知する

　そうした状況下で、2012年のGartnerのレポートの中で「アイデンティティが新たな境界防御になる」と提唱している。つまり、システムが提供するリソース/サービスに対するアクセス・セキュリティは、ユーザーのアイデンティティによって制御されるべきという考え方だ。つまり、高度化する不正アクセス対策には、アイデンティティをベースにした新たな境界防御が必要というわけである。

　そこでアイデンティティの振る舞いを分析し、不正アクセスの検知を行うソリューションとして、NRIセキュアテクノロジーズから紹介されたのが「Uni-ID Identity Fraud Detection (Uni-ID IFD) 」である。

　「Uni-ID IFD」は、運営するWebサイトに訪れる様々なユーザーごとにアクセスログを収集し、またはリスク判定APIを備えており、APIに対してWebアクセスの属性情報を入力すると、リスク判定エンジンによって来たアクセスが危ないかどうか、どのくらいのレベルなのか判定して返すという仕組みになっている。そのレベルによって、追加の認証を求めたり、ブロックしたりしてくれるというわけだ。また、どういう人が来ているのか、どのくらい問題があるのかをリアルタイムで閲覧できる「統計情報ダッシュボード」が備えられている。

　なお「Uni-ID IFD」はGartnerによるオンライン不正検知の5階層モデルのレイヤ1~4をカバーするソリューションである。つまり、アクセスもとのPCなどエンドポイント分析（レイヤ１）、特定セッションへのページ遷移に基づくナビゲーション分析（レイヤ2）、ユーザーの振る舞いに基づくユーザー分析（レイヤ3）、そして複数のシステムにまたがるユーザーの振る舞いを見るクロスチャネル分析（レイヤ4）をカバーするというわけだ。複数のシステムとユーザーにまたがる共謀等による不正を検出する（レイヤ5）のみ対応していない。

　それでは正当なユーザーと攻撃者を峻別する際、コンテクストとして活用できる情報にはどのようなものがあるのか。大島氏は図のような6つの属性を紹介した。

　もちろんこうしたコンテクスト情報のみで、すぐに不正アクセスか否かが判定できるわけではない。しかし、怪しさのレベル感としてのスコアが示されることで、リスク判別の手がかりとすることが可能になるというわけだ。

　また、「Uni-ID IFD」はトランザクションの重要度と不正疑い度合いにより、リスクランクを判定するという仕組みになっている。つまり、縦軸にトランザクションの影響度、横軸にトランザクションの不正疑いの度合いをおいて、そのかけ算で危なさのレベルを判定しようというものだ。

　それはリスクベース認証への応用、セキュリティとユーザビリティのバランスを取りながら要求する認証レベルを当てはめていく。たとえば、リスクが低ければIDとパスワードだけでOKとし、リスクが高ければ、複数・多経路認証にというように調整するのが妥当というわけだ。

　また、リスクのモニタリングとして、時系列アクセス傾向や不正の疑いのあるIPアドレス、ユーザーID、UAリストの表示、攻撃パターン別のヒット件数や不正アクセス元の地理情報マッピング等の情報を視覚的に画面上で閲覧できる「ダッシュボード」も「Uni-ID IFD」の機能の１つとして提供される。

　こうした「Uni-ID IFD」の機能をまとめると、機械攻撃からなりすましまで幅広くカバーするID系攻撃に対応するルール・テンプレートを持っており、お客様のWebサイトのアクセス傾向に応じた閾値設定や、不正取引の判定基準などを柔軟にカスタマイズすることができる。さらに、一度こうした仕組みを得たら終るのではなく、巧妙化する脅威に対して常に高い検知力を保持するために継続的なルールチューニングサービスも提供されている。