前回までの投稿では、さまざまな角度からインサイダーの脅威を検証し、インサイダーの脅威の防止には、組織の情報セキュリティ部門、法務部門、人事部門(HR)が関わっていることを見てきた。今回は、進行中の内部脅威を検知し、さらには未然に防ぐために、情報セキュリティ部門が実際に何ができるかを検証したい。
干し草の山の中の文字通りの針
全体として、内部脅威が従業員の行動に占める割合はわずかである。また、「ブラック・スワン」と呼ばれるインシデントだけが一般に知られるようになる一方で、IPや顧客連絡先リストの盗難のような些細なインシデントは、組織にとって大きなコストとなる。
加えて、インサイダーはデフォルトでネットワーク内部にいることを許可されており、組織の重要なリソースへのアクセスを許可され、それを利用する。組織のネットワークに見える大量のアクセス・パターンを考えると、どれが過失なのか、有害なのか、悪意のある行動なのかをどうやって知ることができるのだろうか?
IT部門は通常、インサイダーの脅威に対応する場合、大規模な監視とロギングを行う。その目的は、少なくとも脅威が発生し被害が発生しているときにフォレンジック分析を行い、法務部門による調査をサポートできるようにすることである。
このようなアプローチでは、脅威を防ぐことはできない。Sure Viewのような監視ソリューションの最近のアップデートや米国政府の研究プログラムでは、脅威が発生している間、さらには発生する前に、検知 、より積極的なアプローチを取り始めている。インサイダーの心理は非常に複雑であり、インサイダーは通常、検知を逃れるために予防策を講じることが分かっている。
データサイエンス...内部脅威問題の新たな解決策?
インサイダーの脅威を実際に起こる前に検知するという問題は、人間の行動そのものを予測するのと同じくらい解決が難しく、複雑である。ある人物が次に取る行動は何か?どの行動がその人に与えられた仕事の範囲内なのか?その人物による攻撃の準備を示す行動はどれか?
最近の技術の進歩は、以前は予測不可能とされていた人間の行動を予測することに大きな進歩を示している。Google Nowや Siri、Cortanaのようなシステムは、当初は挫折もあったが、ユーザーのニーズを事前に予測することを目指している。
このようなことが可能になりつつあるのは、膨大な量の振る舞い データが収集され、インデックス化されたためであり、分析に利用可能な計算リソースは、音声認識、画像分析、機械学習などの大規模な人工知能手法を展開するための臨界量に達している。このような大量の行動データの新たな予測分析を指す言葉は データサイエンス.
最近ではさまざまな問題や分野に応用されているが、内部脅威の問題にも同様に応用できるだろう。上述したように、内部関係者の行動は、組織のネットワーク内部で許可された定義に基づくものであり、内部関係者の意図や心理をリアルタイムで導き出すために利用できる情報は通常十分ではない。しかし、収集された行動データの量が増えれば増えるほど、明らかにできる手がかりは増えていく。
データサイエンスの最初のアプローチは、内部脅威の行動に関する一般的に知られた指標を学習することである。これらは承認された行動かもしれないが、一般的には、道を踏み外した内部関係者に関連する。例えば、ドロップボックスのアカウントにデータをアップロードする、USBメモリを多用する、内部サーバーから大量にダウンロードする、などの流出行動です。これらの指標は、進行中の攻撃を捕捉するのに十分具体的ですが、この方法で検知できる攻撃の種類は限られています(指標がわかっているもの)。
将来の--そして未知の--攻撃を捕捉するために、第二のアプローチは、観測された行動の異常に注目することである。異常とは、標準的なもの、正常なもの、予想されるものから逸脱しているものである。
行動の領域では、データサイエンス・ソリューションは、振る舞い データを分析し、何が正常であるかを学習する。正常な」行動とは、観察されたすべての行動のバリエーション、個人の経時的な行動、あるいは社会的な行動に関する正常性を指すことがある。正常性のベースラインが確立されると、異常値を特定することができる。
インサイダーの脅威は、該当する個人の行動の変化と対になっていることを知っているため、異常検知は脅威の初期段階であってもこれらを明らかにする。しかし、この検知能力の向上には、誤検知の増加という代償が伴う。行動の良性の変化(例えば、職務やチームの変更、休暇明けの復職など)が検知のトリガーとなり、これらの検知の量が圧倒的に多くなる可能性がある。
第3の(そして最も先進的な)データサイエンスのアプローチは、第1と第2のアプローチのアウトプットからナラティブを生成すること、つまり指標と異常を組み合わせて、組織内部で起こっている行動についての理解しやすい解釈を生成することである。後者は、最終的には真に人工的なインテリジェンスを作り出すことになるため、明らかに難しい。しかし、我々はそこに到達しつつある。