「2017 Japan IT Week春」ではセキュリティに関連する製品やソリューションも数多く展示されていた。マクニカネットワークスのブースでは、標的型攻撃対策、Webセキュリティ、情報漏えい対策や内部不正対策など企業の持続的な運営には欠かせない製品やソリューションが幅広く展示されていた。

図1 数多くのソリューションや製品が並ぶマクニカネットワークスのブース

マクニカネットワークスのブースには、数多くの製品やサービスが展示してあったがその中から、「exabeam(エクサビーム)」を取り上げてみたい。近年、セキュリティ対策や情報漏えい対策としてさまざまなログを記録することが一般的となっている。しかし、多くの監視を行うことで、ログの量が膨大なものとなっている。その結果、人の手ではすべてを管理することができない状況となっている。膨大なログから、いかに重要なインシデント情報を発見するかが企業のセキュリティ対策の要ともなっている。

そこで、AI(人工知能)などを利用するといったソリューションも登場してきている。マクニカネットワークスでは、機械学習による不正ユーザーの可視化と追跡を行う「exabeam」をリリースしている。exabeamは、まずログ管理サーバーからログを収集する。ログからユーザー単位で活動内容を直線化して表示。その際に、正しい行動から逸脱した行動やふるまいをスコアリングする。その仕組みの重要な要素が、人と属性によるプロファイリングである。

図2 人と属性によるプロファイリング

ユーザーのプロファイルは、比較的わかりやすいであろう。いつ、どのPCからログインしたか、どのサーバーにアクセスし、どのようなファイルを利用したかといったことである。他にも、USBメモリの使用状況といったことなども含まれることが一般的である。exabeamは、ここに属性を付加する。具体的には、社内での所属する部署やグループである。

図3 exabeamのデモ

少し見にくいが、監視するユーザーごとにスコアが示されている。このスコアが、大きいほど通常ではない行為を行っていると判定される。たとえば、左上の女性は人事部に所属する社員である。彼女に"217"という、危険レベルの判定がなされている。実際に、どんな行動がとられたかを、詳しく見ていく。すると、

  • 普段、使用していないPCを使い、ウクライナからVPN接続

といったログが残っていた。さらに、スコアを上昇させた行動として、

  • 上位権限の取得
  • 普段、人事部の使わないサーバーへのアクセス

といったログがみつかった。上位権限の取得であるが、人事部の場合「+20」となる。逆にシステム部の社員では「+5」となる。これは、システム部の社員は保守や管理で、管理者権限を使うことがあるからだ。しかし、人事部員がそのような行動をすることはほぼありえない。このように、部署やグループといった属性をプロファイルに加えることで、同じ行為でもスコアが異なってくる。この違いにより、通常の活動か不正な活動かを判定できるのである。

実は、悪意を持った攻撃者が人事部員のアカウントを詐取し、そのIDとパスワードを使ってなりすましたのである(それがウクライナからのVPN)。そして、まんまと社内LANに侵入した攻撃者の行動であるが、できるだけ上位の権限を取得し、サーバーから情報を探す活動を行う。それが、人事部の使わないサーバーのアクセスとして残ったのである。

exabeamでは、特に「First(初めて)」という行動に注目している。普段、使用していないサーバー、ファイル、デバイスにアクセスするというのは、通常の業務と考えにくい。そのあたりが、わかりやすく表示される。

また、1つのグループで、普段、使わないデバイスやファイルにアクセスがあった場合、もしそれが、グループのほとんど社員が行っている場合、トラブルが発生していると推察可能である。しかし、グループの1人しかアクセスを行っていない場合、その行動が不正なものと推測することができるだろう。こういった判断も、グループ属性を付加することで可能になる。

exabeamでは、このようにユーザーの行動パターンを分析し、基本的な活動のベースラインを作成する。そのベースラインからの乖離をスコアで表示する。異常な行動や不正活動が可視化され、膨大なログから適切にインシデントの兆候を把握できる。非常にユニークなログ分析ソリューションといえるだろう。