FineArt News

コラム

内部脅威の潜在的指標を検知するセンサー

CERT SEIインサイダー脅威プロジェクトに基づくと、分析用データセットは5つのファイル(logon.csv、email.csv、device.csv、http.csv、files.csv)に分割されます。その中でも

  • クライアント接続のUSBデバイス
  • リムーバブルメディアへのアクセスに関連する全ファイル
  •  ファイルへのアクセス、アップロード、ダウンロードを行ったウェブサイトを含む

これらの活動ログを提供し、インサイダー脅威を識別・予測する手法の研究に役立ちます。

またMITREは2007年・2018年・ 2021年に大規模な応用行動科学実験を実施し、実稼働中の企業において全従業員の実際のPCの活動を記録し、24種類の情報漏洩の手法と76種類の検知回避の手法を分析しました。

結論として、単独で内部脅威の指標(Indicator of insider)と特定できる明確な活動指標は存在しませんが、潜在的な情報収集活動(PRIs:Potential indicators of insider / 内部脅威の潜在的な指標を監視することで、潜在的な内部脅威を早期に検知できます。この分析における悪意ある内部脅威の潜在活動順序では、5つのPRIのうち4つがファイル活動に関連し、1つがウェブ閲覧に関連していました。

とても悪意がある内部脅威の潜在活動順では、8つのPRIのうち6つが圧縮プログラム活動に関連し、2つがメールに関連しています。

結論1:れらの潜在的な脅威活動は、悪意から高度な悪意まで情報漏洩や隠蔽技術に関わらず、クリップボード操作・コピー&ペースト・ファイル圧縮・ファイル操作・内部ネットワークアクセスといった活動を含むことが分かる

結論2:検出されたPRIの大半は、ネットワークパケット活動ではなくエンドポイントセンサー(UAMソリューション)から得られたものである

結論3:PRIはリモートワーカーに適用可能であり、同様にオンプレミス環境の社内ユーザーにも適用可能

SEIとMITREの実験結果を参考に内部脅威管理の枠組みを構築し、管理可能なPRIを確立します。PRIを実務で機能させるには、企業は階層横断的なデータ統合プラットフォームを構築し、エンドポイント・ID・ネットワーク層の検知信号を統合する必要があります。

UBA(ユーザー行動分析)モデルを通じてユーザーのベースライン行動を継続的に学習し、異常活動に対してリアルタイムのリスクスコアリングを実施します。リスクスコアが閾値に達した場合、システムは自動的にDLP防御アクション(ファイルアップロードのブロック、セキュリティ担当者への警告など)をトリガーし、「検知-評価-対応」の閉ループ防御プロセスを形成します。この行動コンテキストを中核とする防御アーキテクチャは、検知から対応までの時間を効果的に短縮し、誤検知率を低減します。

エンドポイントのセンサーはどのような情報を収集する必要があるか?

センサーが検出する内容とその説明
  • ユーザーログイン/ログアウト
  • リモートアクセス(リモートワーカー)
  • クリップボード活動
    • コピー元
    • ペースト(貼り付け)先
    • テキスト内容
  • 外部デバイスのファイル活動
    • 新規作成
    • コピー
    • 削除
    • 名前変更
  • デバイス:デバイスの接続・切断アクティビティ
  • 実行中のプロセス
  • アプリケーション
    • ユーザーによるプログラム実行アクティビティ
    • 不正なアプリケーションの実行
    • 不要なプログラムの実行(危険またはリソースを消費するもの)
  • サービス:必須サービスの確認、サービス起動状態の確認または不要なサービスの停止
  • ファイル分類
  • ウェブサイトの閲覧
    • ファイルのダウンロード
    • ファイルのアップロード

単一のセンサーでは内部脅威を検知できません。これは、アイデンティティ、エンドポイント、データ、ネットワーク活動から収集された情報の融合です。これらの情報を条件として組み合わせることで、以下のアプリケーションにフィードバックされます。

  • ゼロトラストデバイス識別による安全なデバイスアクセス条件
    • 必須(または不要)なソフトウェアのインストール状況(例:アンチウイルス、エンドポイントセキュリティ)、バージョン、更新状態
    • 必須(または不要)なサービスの存在
    • 必須(または不要)な実行中のプロセス
    • 接続必須の(周辺)デバイス、ハードウェアコンポーネント
    • 必須のシステムパッチ、更新
  • リスクスコアリングシステム、動的セキュリティポリシー調整
    • ファイル分類と機密性ラベル
    • ウェブ閲覧時のファイルアップロード/ダウンロード
    • インスタントメッセージツールによるファイル転送
    • クリップボード操作の送信元と送信先
    • ロールベースのユーザー行動基準の確立
    • DLPリスクのあるログのSyslog出力

UEBA/AI分析への出力によるイベント相関分析、異常コンテキストの特定(例:組織内部の機密資産からリムーバブルメディアへのファイル書き込み) リスクスコアリングとポリシーベースのDLPアクションは、検知結果を強制可能なエンドポイントポリシー対応に変換し、事態の悪化を防止します。以上をまとめると、内部脅威検知にはマルチソースセンシングと行動分析の統合が不可欠であり、PRIsとUBAの連携により異常行動を早期発見し、企業の早期警戒・防御能力を強化できます。

  1. 内部リスクから内部脅威へ:サプライチェーンとサードパーティのアクセスに潜む危機
  2. リモートセキュリティ強化:DLPで内部情報漏洩を積極的に検出
  3. AI時代のデータリスク、管理戦略を標準化して再構築
  4. 産業情報セキュリティ監査の重点、顧客の実例共有
  5. 企業の情報セキュリティ:内部リスクとデータ保護に関する主な戦略
  6. TotalSecurityFortによる生成AIサイト利用の制御
  7. スマートマニュファクチャリングにおけるセキュリティの懸念
  8. ファイル追跡に役立つTotalSecurityFort
  9. DLPのコンテンツ分析には改善の余地あり
  10. 複数のエンドポイント保護システムをインストールすると保護は強化できるか?