前回のブログで内部不正対策についての流れを書かせていただきました。
今回はSumo Logicと端末の操作ログ管理が行えるSKYSEAとの組み合わせで内部不正対策を実現する例を、サンプルダッシュボードをお見せしながらご紹介していきます。
前回のブログはこちら
https://cloudsolution.terilogy.com/blog/sumo-logic_internal-fraud-prevention
2つの視点でのモニタリング
内部不正対策では2つの視点でのモニタリングが重要になってくると思います。
- セキュリティ担当者によるモニタリング
・中途退職者による漏えいの徴候把握
- 転職活動の徴候
- 重要・機微情報へのアクセス(顧客情報、競合情報、知財など)
- 普段と異なる行動(Webメール利用、USBへの書き出し、夜間・休日の活動)
- 問題行動をスコアリングし、スコアの高い従業員を継続的にリストアウト - 業務現場担当者によるモニタリング
・誤操作、ルール不徹底、漏えいに繋がる問題行動の徴候を把握
2つの視点でモニタリングするメリット
- 担当者の活動における誤りを早期に発見できる
- 不正行為を行いにくくする(見つけやすい) ※身近な人が見ている
- 業務の専門家の目による見落としの少ない、より正確なチェックが可能
- セキュリティ担当者の負担削減
ダッシュボード
上記の点をふまえて2つの視点でのダッシュボードを作成してみました。
◆ 現場担当者用ダッシュボード
USBへファイルの書き込みが何件あったか、その内訳を表示しています。
誰が、USBに書き込みを行っているか、何のファイルをUSBに書き込んでいるのかを確認することができます。
ファイル名に”顧客”や”お得意様”など重要情報が入っていそうなファイルを印刷しているか、利用禁止アプリの利用者、利用禁止ファイル共有サイトへのアクセスを行っているかを見ることができます。
また、Sumo Logicのダッシュボードのフィルタ機能を利用することでダッシュボードを汎用的に使うことができ、各部署、禁止アプリ、許可しているサイトなど直接クエリを書かずに絞り込むことが可能です。
◆ セキュリティ担当者用ダッシュボード
それぞれの行動にスコアを設定してそのスコアの合計値を出しています。
このダッシュボードでは問題行動をスコアリングしてスコアの高い従業員を継続的にリストアップすることが可能です。
このようなスコアを前日や一週間での対比で見ることによってUEBAを入れなくてもBehaviorを見ることができます。
MS365などのログとSKYSEAのログを相関分析してダッシュボードとして表示することも可能です。
MS365のログで顧客情報などのセンシティブデータにアクセスしているかの確認を行います。
SKYSEAのログより、同じ時間帯に外部デバイスを使用しているかを確認します。
MS365とSKYSEAの相関分析のダッシュボードより、センシティブデータを外部デバイスに書き込んでいるか、確認を行っていきます。
例えばセンシティブデータにアクセスしてスクリーンショットを外部デバイスに書き込んでいるというのも危ない行動だと思います。
ここで行動を行っている人が転職サイトにアクセスを行って転職をしようとしているのか、データを持ち出そうとしているのか確認を行い、ヒアリング等に繋げる一歩になるのではないでしょうか。
MS365のログを使用して相関分析を行っていますが、他のアプリケーションのログを取り込んでいるのであればこのように複数のログを組み合わせて相関分析を行うことが可能です。
SKYSEAの管理者、セキュリティ担当者は会社全体のすべてを把握して見ることが難しく、各部署の従業員の怪しい行動の徴候にも気付きにくいです。
ある程度誰がどのような働き方をしているのかを理解している各部署でモニタリングすることで内部不正につながる行動の徴候を見つけやすく、また行動を可視化されていると現場の従業員に分からせることで内部不正への牽制にもつながります。
SKYSEAのログを活用してこんなのが見たいやこうやって見えるようにしたい、ログを溜めているけどどうすればよいか困っているなどございましたらSKYSEAのログに限らずお気軽にお問い合わせください!
