インサイダー脅威検出の課題(Challenges of Insider Threat Detection)– ホワイトボード・ウェンズデー(Whiteboard Wednesday) [英語の動画]

 インサイダー脅威を検出して抑止するには、専門家が両方のユーザーを理解し、彼らが企業データにどのようにアクセスして利用するかを把握する必要があります。

第1回ホワイトボード・ウェンズデーでは、Imperva、グローバル製品戦略部門のバイスプレジデント、ドリュー・シュイルが、インサイダー脅威検出の課題と、機密データや大規模なデータリポジトリを不注意なユーザー、危険なユーザー、悪意のあるユーザーから守る方法についてお話します。

映像の字幕

ホワイトボード・ウェンズデーにようこそ。ドリュー・シュイルと申します。Imperva、グローバル製品戦略部門のバイスプレジデントです。本日のトピックはインサイダー脅威検出の課題です。特に、データベース、ビッグデータシステム、ファイルリポジトリなどの大規模なデータリポジトリと機密データについてお話します。

insider threat japan 1

インサイダー脅威のプロファイル

インサイダー脅威のプロファイルから始めましょう。危険、不注意、悪意の3つが既に(ボードに)書いてあります。

  • まず、危険から見ていきましょう。これはセキュリティ業界のほとんどが注目している領域です。ここで言う危険なユーザーとは、フィッシングのリンクをクリックしてしまったユーザーや、端末が何らかの形でマルウェアに感染したユーザーのことです。こうして攻撃者がネットワークの内部に侵入します。彼らは機密データがある場所を突き止めようと組織を横断しながら偵察し、それにアクセスするために他の認証情報をも危険にさらします。組織が昨今実装しているセキュリティソリューションは、端末のセキュリティ、サンドボックス、フィッシング対策などですが、その多くは実はこのユースケースを探し、早急に阻止して危険なユーザーを隔離するように設計されています。
  • ここで見落とされたもう2つのユーザープロファイルは、不注意または怠慢なユーザーです。ネットワークへの正当なアクセス権を持つデータベース管理者(DBA)が仕事を早く終わらせるために手順を省くとします。例えば、変更管理プロセスを踏みたくないので、管理者アカウントではなくアプリケーションサービスのアカウントを使ってデータベースに接続した場合、別のアカウントを借りることで、基本的にそのユーザーが誰であるかを隠してしまいます。データベース管理者はすべてにアクセス権を持っているため、大抵の場合、組織はこのような行為に気がついていません。それは、何が起こっているか、何が起こっているべきかをセキュリティが必ずしも把握していない領域です。不注意な行為の場合、通常は侵入検知のアラームが鳴りません。
  • 同様に、悪意のあるユーザーも正当な認証情報を持っているため、ログインして仕事ができますが、情報を窃取している可能性があります。次の就職先に情報を持ち出しているかもしれません。ポネモン研究所の報告によると、離職する従業員の69%がデータを持ち出したことを認めています。必ずしもエドワード・スノーデンのような人ではなく、次の職場にデータを持って行くのは、自分にその権利があると思っているからかもしれません。

最後の2つのカテゴリ(不注意と悪意)については、セキュリティ業界内で改善が必要な領域だと思います。「危険なユーザー」脅威プロファイルだけでなく、3つのユースケースすべてを解決するには、新しいテクノロジーと新しいアプローチを検討する必要があります。

なぜ検出が困難なのか?

では、なぜ検出がそれほど困難なのでしょう。なぜ私たちはこの問題を未だに解決できていないのでしょう。なぜ一度に6000万、8000万、1億ものレコードが漏洩する大きな被害が次々と発生するのでしょう。尚、これは空港に置き忘れた誰かのノートパソコンのスプレッドシートからではなく、データベースから漏洩しています。企業内の大規模なデータリポジトリから漏洩しているのです。

  • 1つの問題は、これらのユーザーが正当なアクセス権を持っていることです。彼らはネットワークに接続して、そこで仕事をしています。これを考慮すると、必ずしもIAM(IDとアクセスの管理)やアクセス制御の問題ではありません。実は、問題はログイン後の検出なのです。ユーザーがログイン後に何を行ったか、その行為が正常かどうかを確認する必要があります。正当と不正との違いを理解することは、大きな課題の1つです。つまり、データベースやビッグデータ環境で行われる数百万規模のトランザクションが対象となります。正当か不正かをどのように判断しますか?
  • では、どのようなアプローチが取られているでしょう? 今日では、情報をセキュリティ・オペレーション・センター(SOC)に送る場合があります。相関ルールを記述しているルートログを通す場合もあります。環境内に他のセキュリティレイヤーがあり、情報を繋ぎ合わせて全容を理解しようとするかもしれません。しかし、ほとんどの場合、ログイン後の行為が正当か不正かを見分けられるほど把握できておらず、結果はアラート過剰になります。[ターゲット社のデータ漏洩]の場合は、セキュリティ・オペレーション・センター環境内のセキュリティ・インシデント&イベント・マネジメント(SIEM)に情報を送りましたが、検出できませんでした。行動につながるデータにたどり着くことができなかったのです。
  • 最後の問題は、最も大きな問題の1つだと思いますが、このような大企業は環境内に数十から数百、場合によっては数千のアプリケーションがあり、それぞれが事業部門と業務要件に応じてサービスを提供しています。正当か不正かを見抜く責任を担っているのは、セキュリティチームという1つのチームで、ユーザーやアプリケーション、組織内のその他大勢がデータにアクセスしています。このコンテキストの欠如は、静的予測ポリシーの使用や事業部門との連絡だけでは解決されないことです。正当か不正かを理解し、アラートを選別して、セキュリティチームにコンテキストを提供し、インサイダー脅威が検出されたときに、実際に隔離、追跡、対処できるようになるには、もっと高度な何かが必要です。

侵害の特定にはユーザーとデータの理解が必要

ユーザーのプロファイルについてお話ししたので、次はデータについて見ていきましょう。インサイダー脅威を検出するという課題に取り組むときに鍵となるのは、実はユーザーとデータの接点だと思います。インサイダー脅威の場合、これは基本的にデータ侵害が発生している場所です。

年1回発行される『ベライゾンデータ漏洩/侵害調査報告書』は、膨大な量のデータをフォレンジックと分析を通して見た多くのケースで、脅威は既に組織内にいる者(危険、不注意、悪意あるユーザー)であったと指摘しています。

データとユーザーの属性

ビッグデータ、データベース、ファイルシステムについて話し始めると、特にデータベースにはIPアドレスやユーザー名だけでなく、多くの情報が格納されています。私たちはユーザーについてもっと理解する必要があります。どこから来たか、どのようなアプリケーションを使っていたか、どの部門に所属しているかなど、そのユーザーがデータを操作しているコンテキストを知りたいのです。他の情報(例えば、データベーステーブル、スキーマ、そのデータベースに実行されたSQL操作など)を入手し始めるうちに、このデータを保護する責任があるセキュリティチームのコンフォートゾーンから徐々に離れていきます。
ここでも、コンテキストが問題になります。数百~数千単位のアプリケーションだけでなく、このセキュリチームが知らない言語や不得意な言語のバージョンもあります。これだけの数のデータを扱う場合に鍵となるのは、データの種類です。これに対する理解を深めて、先ほどお話したような課題に取り組む必要があります。

機械学習は魔法ではない

業界内で何が起きているでしょう。RSAコンファレンスに行った人や、最近セキュリティ展示会に行ったり、ベンダーと話をした人は、機械学習に関する話題が出て、機械学習やユーザー動作分析(UBA)がこの問題の解決に役立つと聞いたことがあるはずです。焦点を絞り込んだユースケースでは非常に効果があり、セキュリティを一段上のレベルにもたらします。しかし重要なことは、機械学習は魔法ではないという点です。データセットに機械学習や人工知能を適用するだけで、良い結果が期待できるような魔法の部分はありません。まず、解決しようとしている問題にピンポイントで焦点を当てる必要があります。これは、次のセクション「不正使用の主な兆候」につながっています。

不正使用の主な兆候

ここImpervaで行ったことの1つは、サービスアカウントの不正使用マシンの乗っ取りデータベースやファイルへの過剰なアクセスを特定するためのピンポイントのアプローチで、その背景にはユーザーがどのようにデータを操作するかについての深い理解があります。これは機械学習の有効活用であると同時に、ユーザーとデータの接点を深く理解して、インサイダー脅威のプロファイルの問題を解決する鍵となります。

インサイダー脅威:未知の要因

機械学習とユーザー動作分析についてお話し、事前定義の静的ポリシーについても前半で少し触れました。リアルタイムで警告と阻止を実行するポリシーを設定する詳細な機能があったとしても、このアプローチの問題点は、未知の要因を考慮に入れることです。インサイダー脅威の以前のアプローチを振り返った場合、問題は主にコンプライアンスでした。例えば、PCIとコンプライアンスは探す範囲が非常に狭く、現に環境は通常細かく統制され、他の環境から分離されている場合がほとんどでした。

もっと幅広い環境、より広範囲のデータセットのインサイダー脅威について考えると、ヨーロッパのGDPRの場合は、個人を特定し得る情報(PII)を探しますが、これは企業の至る所にあります。問題ははるかに困難になります。セキュリティポリシーのすべてのミューテーションと、そのポリシーを作成する方法のあらゆるバリエーションを考えて予想する必要があります。ここでの課題は、数百~数千のポリシーを作成して、それらを管理しなければならない一方、その背後でアプリケーション環境が絶えず変化していることです。これは組織を維持していくための経営課題になります。

静的ポリシーはスケーラブルでない

もう一つの問題は、インサイダー脅威はほとんどの場合、予期できないことです。私たちは、作成する検出ポリシーに可能な変数をすべて考えているわけではありません。データベースの例で、静的ポリシーがスケーラブルでない理由を考慮すると、誰がどのようにデータベースに接続しているかを理解しなければなりません。SQL*Plus、Toad、Aqua Data Studio、それとも他のタイプのツールを使ってデータベースに接続していますか? どのデータにアクセスしていますか? 事前にデータ分類をしてありますか? ポリシーを記述できるように、そのデータのコンテキストを知っていますか? そのユーザーの同僚は何をしていますか? この人がDBAグループやITグループ、財務グループなど、そのグループ内の他の人がしないことをしている場合、それは相関の一部として利用できる行為ですか? 通常は、どれくらいのデータ量をクエリしていますか? データ量、クエリの内容、データベースから返される行数などを理解するには、まずSQLの基準値と深い理解がなければ、定量化が難しい場合があります。

通常は、いつ仕事をしていますか? これは基本的なことに思えますが、インサイダー脅威を検出するには何をする必要があるかを考慮した場合、これら5つの例、これら6つの例(誰がデータベースに接続していますか? どのように接続していますか? どのデータにアクセスしていますか? その人の同僚も同じデータにアクセスしますか? どれくらいのデータ量をクエリしていますか? 通常はいつ仕事をしていますか?)だけでなく、その他多数の例と、考えられるミューテーションすべての相関づけができなければなりません。これは難題になります。次のセクションでは、機械学習についてお話します。焦点を絞り込んだ機械学習なので、何百何千という静的予測ポリシーの設定や長期にわたる管理について心配する必要はありません。

この問題の解決策として、ユーザーとデータの接点と、データを扱うユーザーに対する深い理解についてお話しました。Impervaデータセキュリティは、基本的に機械学習を使用して、様々なユーザー変数とデータ変数に関する理解を自動化し、私たちにわかるようにします。コンテキストの問題や誤検知にも対処し、事前に静的ポリシーを作成する必要はありません。

insider threat japan 2Impervaデータセキュリティによるインサイダー脅威の検出

  • 最初に実行することの1つは、ユーザーと接続タイプの識別です。それは、どういう意味でしょう? データベースの世界で、顧客が抱える最も大きな課題の1つは、データベースに接続するアプリケーションサービスのアカウントと、データベースに接続するインタラクティブなユーザー、つまりデータベース管理者などの特権ユーザーとを区別することです。これらは実行する操作も責任も異なるからです。組織によっては、ユーザーを区別できれば大成功と言えます。私は大手決済代行会社の仕事をしたことがあります。同社はデータベースに文字どおり鼠の巣のようなレガシー接続があり、誰が何をしたかを把握していませんでした。しかし、ソリューションを開始するだけで、動作の統計とアルゴリズムに基づいて自動的に区別され、速度、操作、データベースへの接続方法から、この接続がアプリケーションであることを自動判別して、「ああ、これはサービスアカウントだ」と言うことができました。この区別によって、データベースに接続しているのがデータベース管理者であることもわかります。
  • 接続タイプがわかれば、組織にとっては大成功です。2番目に知りたいことは、データへのアクセス方法から見たアカウントの典型的な目的です。アプリケーションアカウントであるとわかり、そのようにプロファイルしました。アプリケーションアカウントであれば、機密データのアプリケーションにアクセスすることがあります。通常はユーザーの代わりに動作します。例えば、アプリケーションと連携している医療ポータルや、秘密の個人情報の更新などがこれに当たります。データベース操作の1つであるSQL呼び出しを見てみましょう。データベース内にはテーブルが表示され、詳細なレベルで分類できます。データの深い理解とは、接続だけでなく、操作も理解することです。基本的にはデータに対して実行するSQL操作を指します。つまり、これは動的なデータ分類です。
  • 同様に、データベース管理者もデータベースを操作します。データベース管理者はパフォーマンス、稼働時間、可用性を管理する必要があり、通常はメタデータにアクセスしています。データベース管理者ユーザーが、アプリケーションと同じテーブルにアプリケーションと同じ操作を行うことはないはずです。Impervaデータセキュリティでよく見つかる事案は、一定期間観察してプロファイル(正しい行為のプロファイル)を構築すると、通常はこのデータにアクセスしているデータベース管理者が、アプリケーションの機密データをプロファイルした後で、突然機密データにアクセスしています。

セッションをお楽しみいただけたでしょうか。お役に立てたことを願っています。それでは、次回のホワイトボード・ウェンズデーでお会いしましょう。