企業を狙うサイバー攻撃は増加の一途を辿っている。外部からの不正アクセスに加え、社員によって情報が盗み出される「内部不正」が深刻化し、セキュリティ対策はより困難なミッションとなっている。2021年3月2日に開催されたグローバルセキュリティエキスパート(以下、GSX)主催のウェビナー「~ヒトはなぜ不正行動を働くのだろうか? ~ 産業医から見た不正のメンタルメカニズムとセキュリティ対策の共通項とは?」を元に、内部不正のメカニズムと、内部不正やサイバー犯罪を抑止するための仕組みについて探っていこう。
産業医の観点から見る、不正行動のメンタルメカニズムと抑止方法
本ウェビナーは、30社を超える企業の産業医として活躍する、大室産業医事務所代表の大室 正志氏による基調講演で幕を開けた。GSXの産業医であり、企業が直面する健康リスクのプロフェッショナルでもある同氏は、内部不正が増加した理由をどのように見ているのだろうか。
ストレス社会と言われる現代において、睡眠障害をはじめとした自律神経にまつわる症状は多岐にわたり、これらの症状が続くと「自律神経失調症」を引き起こす。職場のストレスが蓄積されると、心と体はもちろん、行動にも影響を与えると大室氏は説明する。 「ストレスはうつ状態や身体の病気、そして問題行動を引き起こし、不正とも密接に関わっています」(大室氏)
大室氏は「不正のトライアングル」という概念を提示し、「動機とプレッシャー」(待遇への不満、自身の金銭問題、高ノルマなど)、「機会」(持ち出し可能な環境、セキュリティが甘いなど)、「正当化」(自分が正当に評価されていない、サービス残業をしている、皆が同じことをしているなど)の3要素が重なることで不正が起こるメカニズムを解説した。
不正の防止は、「不正ができない仕組み」を構築しつつ、運用する人間のストレスに配慮していくという2つの観点で対策を施すことが重要と大室氏は基調講演を締めくくった。
サイバー犯罪被害と内部不正の共通点。行動可視化が犯罪被害を抑止する「UEBA」
サイバーセキュリティ専業コンサルティング企業であるGSXには、「緊急対応案件(サイバー犯罪被害)」の相談が数多く寄せられている。一方、報道にはあまり上らないものの、内部不正に関する相談もじわじわ増え続けている、と武藤氏は現状を語る。リモートワークが当たり前になったことで、企業の管理者が社員の行動を把握できず、内部不正を抑止できないケースが出ているのだ。先の「不正のトライアングル」でいえば、「機会」を増やしてしまっていることになる。武藤氏は「サイバー犯罪」と「内部不正」への対応策として、どちらも ”人の動きを見える化” することが効果的だという。
たとえば標的型攻撃は、メールやフィッシングサイトなどで従業員の端末にマルウェアを感染させ、その端末を起点として社内のネットワークにアクセスし、システムを調査したうえで、脆弱性などを利用して広く深く攻撃を進めてくる。こうした動きを「ラテラルムーブメント」と呼ぶ。旧来のサイバー攻撃対策は、境界防御という考え方で設計されてきたため、多くの企業では一度内部に侵入されてしまうとその後の対処が難しいという課題が残されている。しかし “誰がどこで何をしているのか?” 人の行動が時系列で可視化できるようになれば、犯行に歯止めをかけられる。
同じように内部不正の場合であっても、人の行動が見えていれば、不正の「機会」を与えないようにできる。
「どちらのケースでも人の動きが見えていれば、すぐに気付けますし、その場で犯行を止められるのです」(武藤氏)
とはいえニューノーマルやDXが浸透してきた現在では、業務システムが多様化していたり、オンプレミスとクラウドが混在していたりと、監視すべきポイントが一気に拡大してしまった。そのため、人の行動を時系列で把握するには各システムがバラバラに吐き出すログを集めて”どのログがだれの行動なのか?” を分析しなければならない。たとえSIEMを導入していたとしても、これを普段の業務のなかで常に行い続けるのは現実的ではない。
「この課題にブレイクスルーを起こしたのが『UEBA(User and Entity Behavior Analytic)』です。膨大なログを常に収集分析するだけでなく、”そのログは誰の行動なのか?”という視点を軸として、端末、ネットワーク、ホスト、サービスでのユーザー活動を随時見える化します。また、普段の行動との差異やリスクの高い行動はアラートを出すことができます。過剰なリソースを使わずに行動の可視化を実現できるようになりました 」(武藤氏)
人の活動が一目瞭然になることで、迅速かつ適切に対処し、内部不正やサイバー攻撃に対して、高い抑止効果を発揮するというわけだ。武藤氏は「実効性を高めるためには、見える化の精度もさることながら、それを無理なく運用できることが重要な要素。UEBAは今までの課題を解決する、セキュリティ対応の切り札となっていくでしょう。もちろん実際のインシデントに対応するためには、ソリューションだけではなく、対応する組織づくりも重要です。見える化とあわせて、業務の棚卸しや社内体制の整備も着実に進めていきましょう」と、従前から啓蒙し続けているセキュリティ実効性向上のポイントを語り、セッションを締めくくった。
UEBAを搭載した次世代SIEMプラットフォーム「Exabeam」の導入効果とは
次のセッションでは、GSX セキュリティソリューション事業部の川﨑 貴英氏が登壇し、UEBAを搭載した次世代SIEMプラットフォーム「Exabeam(エクサビーム)」についての話が展開された。
「前のセッションで、外部と内部の脅威への対策の要は同じであることを確認されたと思います。ここからは、専門スキルがなくても行動を可視化して“誰が何をしたのか”を容易に確認できるSaaS型のツール『Exabeam』について解説していきます。Exabeamはオンプレミスやクラウド上のシステムからログを収集し、クラウド上に集約。ユーザーや機器を軸として何が行われてきたのかをタイムラインで可視化します。また、機械学習により正常なふるまいを学習し、異常なふるまいがあるとアラートを上げる機能も搭載されています」(川﨑氏)
川﨑氏はExabeamを「環境に合わせて多段で社員を守る」ソリューションと位置付け、不審な行動の検知に加え、自動でタイムライン化できることがポイントだと語る。
本セッションでは、「ある従業員が転職するにあたって、内部不正を働いた場合、Exabeamではどのように見えるのか?」という内容でデモが行われた。操作方法やGUI等の使いやすさ、画面の見やすさ等については、ぜひ実際のデモを見てほしい。
川﨑氏は「リモートワークなどの多様な働き方により、ユーザーの行動が把握しきれなくなった現在、行動可視化は必須といえます。UEBAのパイオニアであるExabeamは、これまでハードルが高かった行動可視化を容易に実現できるソリューションです。運用基盤・体制の効率化と機能向上や、不審挙動の監視・可視化、被害の予知予防に大きな効果を発揮します」と語り、本セッションを締めくくった。
産業医視点による不正のメカニズムから始まり、サイバー犯罪被害と内部不正の共通点、行動可視化のブレイクスルーとなるUEBA、UEBAを搭載したExabeamの実力について解説された本ウェビナー。ニューノーマル時代にビジネスを推進するすべての企業にとって有益な情報が詰まった内容となっていた。
[PR]提供:グローバルセキュリティエキスパート