操作ログは、内部不正を調査する最良の情報源!(下) ~操作ログをモニタリングする秘策を教えます~
2023/12/15
前回、国内企業で普及している操作ログが、ほとんどの企業で大部分のログが監査されない状況とその要因について解説させていただきました。今回は、操作ログを活用して内部不正対策を強化する秘策をご説明させて頂きます。
前回ご紹介させていただいた操作ログが活用できない4大要因を復習しましょう。
操作ログが活用できない4大要因
課題① 量が膨大で人の目で見れない
課題② 一行のログだけでは行為のリスクがわからない
課題③ ユーザの行動を俯瞰的に捉えられない
課題④ どんな情報がどう扱われているかがわからない
操作ログは膨大であり、操作毎のログを一行ずつ確認しても不正の有無は判断できないということが分析の障壁になっています。これらの課題にどんな対応が有効かということを以下にてご案内させていただきます。
課題①膨大で人の目で見れない
対応①AIを活用し、不正の傾向から検知できる仕組み
膨大なデータを人手で分析するのではなく、AIを活用して分析するという視点があります。普段と異なる兆候をログから傾向を分析し、「いつもと違う」を検知していきます。日常で重要情報にアクセスする業務を担当しているユーザも、アクセス時間帯やアクセス頻度、アクセスしているロケーションなどの多角的な情報を考慮し、アノーマルな行動をAIで見つけ出す仕組みです。AIの学習モデルを活用して、今まで見えなかった状況を可視化することで内部不正への監視を強化します。
課題②一行のログだけでは行為のリスクがわからない
対応②リスクスコアを多角的な観点で算出し、不正の疑いを検討できる仕組み
スコアリングという考え方を取り入れログをリスクの定量的な観点で分析します。例えば、重要ファイルでも、ただオープンしたのとUSBメモリに書き出したのではリスクの度合いが違います。またロケーションという観点でも、オフィスと自宅では、人の目という点で不正の機会も変わってくるでしょう。そうした多角的な要素をスコアリングによって定量化し、内在するリスクを『見える化』します。リスクスコアを持てば、リスク自体の大小だけでなく、リスク値のアノマリーをモニタリングすることができるようになります。このスコアを上記対応①のAI分析の対象とするわけです。アノマリーリスクスコアを見る意義は大きいと思われます。スコアの大小のみでモニタリングしていると、リスクの高い業務を担当しているユーザと不正をしようとしてリスクスコアが高い行為をしているユーザの見分けができません。ログを監視するためには、異常に気付く仕組みが必要で、相対的にリスクスコアを評価する仕組みとしてアノマリーに着眼することは大変重要なことなのです。
課題③ユーザの行動を俯瞰的に捉えられない
対応③ユーザ別にリスクスコアを算出し、行動全体でリスクの分析できる仕組み
操作ログはユーザの行動毎に記録されます。つまり、一つ一つの行動そのものはルールから逸脱していなくても、不正な目的で行動されるケースはログそのものからは読み取ることができません。そこでユーザ別に前項対応③記載のリスクスコアを算出し、ユーザの行動全体のリスクを評価する仕組みが効果を発揮します。どのユーザにリスクが内在しているかをランキング形式で見るなどの方法が効果的です。
課題④どんな情報がどう扱われているかがわからない
対応④重要情報を検出する仕組みと連携し、重要情報の取扱リスクを監視できる仕組み
ファイル操作ログでわかることは、ファイル名だけです。どんなファイル名かで重要性やリスクが判別できる場合は別ですが、一般的にはわからない場合がほとんどです。情報セキュリティ対策の基本は情報の洗い出しと重要度の検討からはじまります。しかし、操作ログの分析にこういった情報の価値やリスクが評価対象となることがありませんでした。DLP製品も行動のリスクは評価できても、情報の評価という観点が欠落しているので、ノイズの多い検知となり仕組みとして実運用が難しい状況となっていると思います。そこで、重要情報を検出し情報台帳とそのリスク評価ができる仕組みと操作ログを組み合わせてリスクを評価するという視点を取り入れることで、効果的にリスク評価ができ、重要情報の持出という点で検知精度を上げることができるようになります。
これらの秘策を実現するためには統合ログ管理システムの機能が不可欠です。且つ、リアルタイムに検知ができるような高性能な処理機能が必須となります。対象となるログや情報は、操作ログ以外に、メール添付のログ、WebへのPostログ、印刷などの複合機のログなどが必要です。
内部不正による情報漏洩事件が時折ニュースとして注目され、企業においては重要事項として検討されている項目です。不正競争防止法では、情報の持出が犯罪として成立するための要件として、有用な情報が公知のものではないことだけでは足りず、秘密として管理されていることが求められています。少なくとも秘密として管理された情報を登録し、スコアリングやAIを使った分析によって、アノマリーや高リスクを検出する仕組みによって、内部情報管理の強化を是非実現していただきたいと思います。