Netskope UEBAで実現するインサイダー脅威対策 ポリシー作成編

リモートワークの増加に伴い高まる、制御が難しくなっている内部不正のリスクへの対策方法について、Netskopeを用いて解決する方法を紹介します。

はじめに

---

前回のブログでは、NetskopeのUEBA（User and Entity Behavior Analytics）を用いたインサイダー脅威対策についてご紹介しました。今回は、UEBAのより高度な活用方法として、ルールベースのポリシーのカスタマイズと、ユーザースコアに基づいたポリシーの作成方法、そして具体的なユースケースについてご紹介します。

ルールベースポリシーのカスタマイズ

---

NetskopeのUEBAでは、あらかじめ定義されたポリシーに加えて、お客様独自のルールを作成することができます。例えば、「特定のSaaSアプリで、ダウンロードとファイル削除を短時間で行う行為」といった、組織特有の脅威に対応したポリシーを作成可能です。今回はBoxを対象として、「1分以内にDownload後Deleteを５回行う動作を検知」するポリシーを作成します。

ポリシー作成手順の例

1. 新規ポリシーの作成: NetskopeUI上の「Policies＞Behavior Analytics」から新規のポリシーを作成します。

 

2. 条件設定: 減点するユーザースコア、対象のユーザーアプリ、対象の国を指定します。

3. 検知する操作の設定: 1分間に「Download後にDeleteする操作」が5回繰り返されたらポリシーで検知する設定を作成します。

ユースケース

カスタムルールポリシーのユースケースとしては以下のようなものが考えられます。

• 機密情報の漏洩防止: 機密情報の入ったファイルをダウンロードし、外部ストレージにアップロードする行為を検知します。
• 不正な内部取引の検知: 複数の取引先との間で、短期間に大規模な取引を行う行為を検知します。
• システムへの不正アクセス: 通常特定のシステムを利用しないユーザーが、システムにアクセスしようとする行為を検知します。

ユーザースコアに基づいたポリシーの作成

---

NetskopeのUEBAでは、ユーザーの行動履歴に基づいてリスクスコアが算出されます。このスコアを基に、リスクの高いユーザーに対して、より厳格なセキュリティポリシーを適用することができます。

今回はユーザースコアが651点以下のユーザーの場合、BoxからのDownload・Deleteを制限するポリシーを作成します。

ポリシー作成手順の例

1. 新規ポリシーの作成：NetskopeUI上の「Policies＞Real-time Protection」から新規ポリシーを作成します。

2. リスクスコアの閾値設定Sourceから「User Confidence」を選択し、危険とみなすリスクスコアの閾値を設定します。

3. アクションの設定: 閾値を超えたユーザーに対して、アクセス制限やアラート通知などのアクションを設定します。

ユースケース

ユーザースコアに基づいたポリシーのユースケースとしては以下のようなものが考えられます。

• 素行不良者のリスク管理: 素行不良の従業員に対して、機密情報へのアクセスを制限します。
• アカウント乗っ取りの検知: 異常なログイン履歴を持つユーザーに対して、DLPの検知ポリシーを適用します。

業種別のUEBAユースケース 

---

UEBA 

• 金融機関:
  • 顧客情報の不正利用防止
• 製造業:
  • 製品の設計図や知的財産の不正持ち出し防止
• 医療機関:
  • 患者情報の不正アクセス防止

まとめ

---

前回と今回でNetskopeのUEBAについて機能とポリシーの設定方法について紹介しました。

NetskopeのUEBAは、ルールベースのポリシーのカスタマイズと、ユーザースコアに基づいたポリシーの作成により、きめ細やかなセキュリティ対策を実現します。これにより、インサイダー脅威や外部からの攻撃から組織を保護することが可能です。