Netskope UEBAで実現するインサイダー脅威対策 機能紹介編

リモートワークの増加に伴い高まる、制御が難しくなっている内部不正のリスクへの対策方法について、Netskopeを用いて解決する方法を紹介します。

はじめに


近年、リモートワークの普及に伴い、内部不正のリスクが高まっています。特に、従業員による意図的なデータ持ち出しや、システムへの不正アクセスといったインサイダー脅威は、企業にとって深刻な問題となっています。

このような状況下で、Netskopeは、UEBA(User and Entity Behavior Analytics)機能を用いた効果的なインサイダー脅威対策を提供します。本記事では、Netskope UEBAの機能と、インサイダー脅威対策への具体的な活用方法について解説します。

 

Netskope UEBAとは


Netskope UEBAは、機械学習とルールベースのポリシーを組み合わせることで、ユーザーおよびエンティティの異常な行動を検知する機能です。大量のファイルアップロード、普段利用しないアプリケーションへのアクセスなど、様々な異常な行動を検知し、インシデント発生を未然に防ぎます。

 

Advanced UEBAの機能


Netskopeでは、Standard UEBAとAdvanced UEBAの2つのUEBA機能を提供しています。本記事では、より高度な機能を持つAdvanced UEBAに焦点を当て、その具体的な機能と活用方法について解説します。

 1. 多様なポリシーによる異常行動検知

Advanced UEBAでは、100種類以上のデフォルトポリシーが用意されています。これらのポリシーは、大きく分けて以下の2種類に分類されます。

  • 機械学習ベースのポリシー: ユーザーの過去の行動パターンを学習し、異常な行動を検知します。
  • ルールベースのポリシー: 事前に定義されたルールに基づいて、異常な行動を検知します。

 

これらのポリシーは、以下のような項目を検知することができます。

  • 資格情報漏洩: 認証情報の盗難や不正利用
  • デバイスの危険性: 感染したデバイスからのアクセス
  • インサイダー脅威: 大量のデータダウンロード、機密情報の持ち出しなど

2. ユーザースコアによるリスク評価

Advanced UEBAでは、各ユーザーにユーザースコアが割り当てられます。このスコアは、ユーザーの行動履歴に基づいて算出され、リスクの高低を示します。スコアが低いユーザーは、不正行為に関与している可能性が高いため、重点的に監視する必要があります。

3. ウォッチリスト機能による特定ユーザーの監視

ウォッチリスト機能を使用することで、特定のユーザーを監視対象に設定することができます。例えば、退職予定の従業員や、リスクが高いと判断された従業員をウォッチリストに追加し、そのユーザーの行動を詳細に監視することができ、閾値以下のスコアになった場合にアラートを発報することができます。以下の画像は、900点以下になった場合にアラートを発報する設定になっています。

インサイダー脅威対策への活用方法


Netskope UEBAは、以下の2つの点でインサイダー脅威対策に有効です。

1. 異常行動の早期検知

・大量のデータダウンロードや、普段利用しないアプリケーションへのアクセスなど、異常な行動を早期に検知し、インシデント発生を未然に防ぎます。

・ユーザースコアの低下や、ウォッチリストへの登録により、リスクの高いユーザーを特定し、重点的に監視することができます。

2. ポリシーベースのアクセス制御

・ユーザースコアに基づいて、特定のユーザーへのアクセス権限を制限したり、特定の操作を禁止したりすることができます。

・例えば、ユーザースコアが低いユーザーに対しては、機密情報へのアクセスを制限することができます。

 

まとめ


Netskope UEBAは、インサイダー脅威対策に不可欠なツールです。本記事では、Netskope UEBAの機能と、インサイダー脅威対策への具体的な活用方法について解説しました。

次回の記事では、Advanced UEBAのポリシー作成方法について、より詳細に解説します。

  • ルールベースポリシーのカスタマイズ方法
  • ユーザースコアに基づいたポリシーの作成方法
  • ユースケース

 

この記事に関連する製品・サービス

この記事に関連する記事