社員の端末操作活動を監視する理由
社員の端末を監視すると決めた組織は大まかに2つの理由があります。
標的反応調査:すでに疑わしい事件が起きているか兆候があるなどの場合は、特定のメンバーやグループを調査する動機があります。次いで予防措置として、能動的にセキュリティ対策を実施し、内部セキュリティ改善、内部脅威の抑制、生産性向上などを求める場合です。
いままで言及した保護システムは基本的に組織内部の情報漏えいを防止するためのものですが、クライアント端末監視自体も企業にとって「追加」のメリットがあります。
内部脅威に対する防御力向上
- 内部脅威対策として最小限にやるべきことが検知(Detection)です。ユーザの活動を把握して、ユーザ操作活動の異常な状況を検知する必要があります
- 内部威脅対策としては前後のコンテクストをつなぐ詳細な関連活動データが必要です。セキュリティチームによる解析でこれらのデータを揃えてからの方が遥かに効率的です
以下の理由で生産性を向上させます。
- 作業が滞ってるメンバーを見つけ出し、適切な協力を促すことができる
- 企業内でもっとも時間が使われている活動を把握し、生産性改善対策の状況を追跡できる
- インシデント調査時の証跡として活用でき、証跡収集時間を大幅に削減し、コストの高い証跡取得専用ツールを頼らずに調査を実施できる
セキュリティ部門のメンバーであれば自ずとユーザ行動を監視する価値とメリットを理解できますが、監視は時として法的・人事的に疑問を持たれる措置でもあります。本記事はこれらの関連する議題を説明し、管理者にユーザ行動の監視と解析における実作業と注意点を提示します。
ユーザ行動監視(User Activities Monitor)
クライアントユーザ活動の監視の目的は、情報を保護すると同時に可用性と法遵守を確保することです。 UAMはネットワークだけでなく、すべての種類の活動を監視できます。クライアントで実行したシステム、ファイル、アプリケーション、ネットワーク操作を全て監視できます。例えばユーザのサイト閲覧活動、クライアントが未許可のドキュメントにアクセスしているか等も対象です。
クライアントユーザ活動の監視と管理にはいくつかの方法があります。
- ユーザ接続時に録画を実施する(動画とログも含む)
- システムレポートの収集と解析
- ネットワークパケットの収集と解析
- キーボードのキーログ
- OSのコア監視
- 画面キャプチャ
- ファイルのアクセスと操作
- メールとインスタントメッセンジャー(SNS)のログ
これらのログは組織の管理ポリシーに従い、クライアントユーザの役割に相応の範囲内でログを収集して、不正操作が実施されているかを確認する必要があります。 「不正なクライアント活動」と見なす判断は、UAMソリューションを導入するときのポリシーに従います。例えばユーザ端末のファイルアクセス、勤務時間内でのECサイト閲覧のような軽微なものから社内機密情報窃取(知的財産情報、会計、人事情報)などの基準があります。
これらのシステムは構造上、端末から収集したログとイベントを保存するためのデータベースが含まれています。さらに別マシンによるファイルバックアップが用意されることもあります。一般端末の鑑識調査との違いは、調査時にクライアントがオフライン状態、実機に触れられない状態でも条件絞り込みで関連するログを閲覧することができます。
ユーザ行動解析とイベント反応
どんなレベルの監視でも基本的には大量のログが生成されます。クライアント活動監視の目標はあくまでデータ保護関連の情報にあるので、有用データの絞り込みが重要になります。有効的な検知フローを通せば、疑わしいクライアント活動を即時調査でき、さらにこの端末が社内ネットワークやリソースを使用して社内情報をクラウドHDDなどにアップロードしたり、未許可のサービスやアプリケーションを使用したり、漏洩リスクのある職務外活動をしたりなどの不正行為も確認できます。クライアント活動監視ツールは更に離職者による機密情報の持ち出しを防止できます。
しかし、端末のユーザ活動ログから即時に疑わしい脅威を解析して対処し、イベントに適切な対応や復元を実施するのは簡単なことではありません。2016 IEEE International Conference on Big Data (Big Data)マガジンにある「User and Entity Behavior Analytics for Enterprise Security」という記事もUEBA による企業情報保護が研究されています。PC のプロトコル:HTTP、DNS、SSL、FTP、NTP などを記録して解析することで、有効的に突破された (Compromised)マシンを見つけることができます。一般的に、行為の不正を解析する場合、ターゲットをサーバルームに絞り込んだ方が明確な結果が見えやすいです。目視で確認できる異常もあります。理由はサーバのサーバロールは基本固定で活動もパターン的なので、突破されると簡単に解析で発見できます。しかし一般ユーザの端末活動は繰り返し調整と校正をして基準ラインを決めるなど、サーバよりはるかに複雑で難しいです。ユーザ端末の異常判断するには長時間累積したデータが必要で、例え通常と異なる行為を検知しても、当時の担当作業に変更があるだけの場合も考えられるので、こういった例外設定なども含めて解析がより困難になっています。
結論
理想としては予防・予測の実現にありますが、人間の行動の不可測性によりすべての異常行為を検知できるわけではありません。どうしても妥協する部分が出てきます。基本的にリアルタイムで一定レベルの(イベント)行為パターンを検知して内容を解析(context)できれば、比較的悪意ある行為を見分けることができます。システムでさらに脅威評価モデルを作成して、クライアントの活動におけるリスクを評価すれば、実際のインシデント時の反応基準になります。承認申請の仕組みも合わせて、安全監視下でユーザの例外活動 (User Override)をある程度許可すれば、セキュリティが低下しない前提で業務への影響を最小限に抑えられます。UAMとUBA+EDRを組み合わせて、旧来の受動的クライアント保護から能動的な検知即対応へ進化すれば、今後起きるであろう新たな内部脅威にも十分対応できるようになります。