Netskope UEBAで実現するインサイダー脅威対策 ポリシー作成編
リモートワークの増加に伴い高まる、制御が難しくなっている内部不正のリスクへの対策方法について、Netskopeを用いて解決する方法を紹介します。
はじめに
前回のブログでは、NetskopeのUEBA(User and Entity Behavior Analytics)を用いたインサイダー脅威対策についてご紹介しました。今回は、UEBAのより高度な活用方法として、ルールベースのポリシーのカスタマイズと、ユーザースコアに基づいたポリシーの作成方法、そして具体的なユースケースについてご紹介します。
ルールベースポリシーのカスタマイズ
NetskopeのUEBAでは、あらかじめ定義されたポリシーに加えて、お客様独自のルールを作成することができます。例えば、「特定のSaaSアプリで、ダウンロードとファイル削除を短時間で行う行為」といった、組織特有の脅威に対応したポリシーを作成可能です。今回はBoxを対象として、「1分以内にDownload後Deleteを5回行う動作を検知」するポリシーを作成します。
ポリシー作成手順の例
1. 新規ポリシーの作成: NetskopeUI上の「Policies>Behavior Analytics」から新規のポリシーを作成します。
2. 条件設定: 減点するユーザースコア、対象のユーザーアプリ、対象の国を指定します。
3. 検知する操作の設定: 1分間に「Download後にDeleteする操作」が5回繰り返されたらポリシーで検知する設定を作成します。
ユースケース
カスタムルールポリシーのユースケースとしては以下のようなものが考えられます。
- 機密情報の漏洩防止: 機密情報の入ったファイルをダウンロードし、外部ストレージにアップロードする行為を検知します。
- 不正な内部取引の検知: 複数の取引先との間で、短期間に大規模な取引を行う行為を検知します。
- システムへの不正アクセス: 通常特定のシステムを利用しないユーザーが、システムにアクセスしようとする行為を検知します。
ユーザースコアに基づいたポリシーの作成
NetskopeのUEBAでは、ユーザーの行動履歴に基づいてリスクスコアが算出されます。このスコアを基に、リスクの高いユーザーに対して、より厳格なセキュリティポリシーを適用することができます。
今回はユーザースコアが651点以下のユーザーの場合、BoxからのDownload・Deleteを制限するポリシーを作成します。
ポリシー作成手順の例
1. 新規ポリシーの作成:NetskopeUI上の「Policies>Real-time Protection」から新規ポリシーを作成します。
2. リスクスコアの閾値設定Sourceから「User Confidence」を選択し、危険とみなすリスクスコアの閾値を設定します。
3. アクションの設定: 閾値を超えたユーザーに対して、アクセス制限やアラート通知などのアクションを設定します。
ユースケース
ユーザースコアに基づいたポリシーのユースケースとしては以下のようなものが考えられます。
- 素行不良者のリスク管理: 素行不良の従業員に対して、機密情報へのアクセスを制限します。
- アカウント乗っ取りの検知: 異常なログイン履歴を持つユーザーに対して、DLPの検知ポリシーを適用します。
業種別のUEBAユースケース
UEBA
- 金融機関:
- 顧客情報の不正利用防止
- 製造業:
- 製品の設計図や知的財産の不正持ち出し防止
- 医療機関:
- 患者情報の不正アクセス防止
まとめ
前回と今回でNetskopeのUEBAについて機能とポリシーの設定方法について紹介しました。
NetskopeのUEBAは、ルールベースのポリシーのカスタマイズと、ユーザースコアに基づいたポリシーの作成により、きめ細やかなセキュリティ対策を実現します。これにより、インサイダー脅威や外部からの攻撃から組織を保護することが可能です。