Netskope UEBAで実現するインサイダー脅威対策 機能紹介編
リモートワークの増加に伴い高まる、制御が難しくなっている内部不正のリスクへの対策方法について、Netskopeを用いて解決する方法を紹介します。
はじめに
近年、リモートワークの普及に伴い、内部不正のリスクが高まっています。特に、従業員による意図的なデータ持ち出しや、システムへの不正アクセスといったインサイダー脅威は、企業にとって深刻な問題となっています。
このような状況下で、Netskopeは、UEBA(User and Entity Behavior Analytics)機能を用いた効果的なインサイダー脅威対策を提供します。本記事では、Netskope UEBAの機能と、インサイダー脅威対策への具体的な活用方法について解説します。
Netskope UEBAとは
Netskope UEBAは、機械学習とルールベースのポリシーを組み合わせることで、ユーザーおよびエンティティの異常な行動を検知する機能です。大量のファイルアップロード、普段利用しないアプリケーションへのアクセスなど、様々な異常な行動を検知し、インシデント発生を未然に防ぎます。
Advanced UEBAの機能
Netskopeでは、Standard UEBAとAdvanced UEBAの2つのUEBA機能を提供しています。本記事では、より高度な機能を持つAdvanced UEBAに焦点を当て、その具体的な機能と活用方法について解説します。
1. 多様なポリシーによる異常行動検知
Advanced UEBAでは、100種類以上のデフォルトポリシーが用意されています。これらのポリシーは、大きく分けて以下の2種類に分類されます。
- 機械学習ベースのポリシー: ユーザーの過去の行動パターンを学習し、異常な行動を検知します。
- ルールベースのポリシー: 事前に定義されたルールに基づいて、異常な行動を検知します。
これらのポリシーは、以下のような項目を検知することができます。
- 資格情報漏洩: 認証情報の盗難や不正利用
- デバイスの危険性: 感染したデバイスからのアクセス
- インサイダー脅威: 大量のデータダウンロード、機密情報の持ち出しなど
2. ユーザースコアによるリスク評価
Advanced UEBAでは、各ユーザーにユーザースコアが割り当てられます。このスコアは、ユーザーの行動履歴に基づいて算出され、リスクの高低を示します。スコアが低いユーザーは、不正行為に関与している可能性が高いため、重点的に監視する必要があります。
3. ウォッチリスト機能による特定ユーザーの監視
ウォッチリスト機能を使用することで、特定のユーザーを監視対象に設定することができます。例えば、退職予定の従業員や、リスクが高いと判断された従業員をウォッチリストに追加し、そのユーザーの行動を詳細に監視することができ、閾値以下のスコアになった場合にアラートを発報することができます。以下の画像は、900点以下になった場合にアラートを発報する設定になっています。
インサイダー脅威対策への活用方法
Netskope UEBAは、以下の2つの点でインサイダー脅威対策に有効です。
1. 異常行動の早期検知
・大量のデータダウンロードや、普段利用しないアプリケーションへのアクセスなど、異常な行動を早期に検知し、インシデント発生を未然に防ぎます。
・ユーザースコアの低下や、ウォッチリストへの登録により、リスクの高いユーザーを特定し、重点的に監視することができます。
2. ポリシーベースのアクセス制御
・ユーザースコアに基づいて、特定のユーザーへのアクセス権限を制限したり、特定の操作を禁止したりすることができます。
・例えば、ユーザースコアが低いユーザーに対しては、機密情報へのアクセスを制限することができます。
まとめ
Netskope UEBAは、インサイダー脅威対策に不可欠なツールです。本記事では、Netskope UEBAの機能と、インサイダー脅威対策への具体的な活用方法について解説しました。
次回の記事では、Advanced UEBAのポリシー作成方法について、より詳細に解説します。
- ルールベースポリシーのカスタマイズ方法
- ユーザースコアに基づいたポリシーの作成方法
- ユースケース