2．ブラックボックスとなっていた従業員の行動

あるお客さまから、情報漏えい対策を含むセキュリティ対策の支援を依頼されました。
このお客さまの環境では統一されたセキュリティ対策が整っておらず、一部拠点では、AD（Active Directory）や資産管理製品が導入されているものの、ほとんどの拠点ではアカウントや端末の制御がされておらず、現場で主に管理簿を用いた運用が行われていました。そのため、従業員の行動がブラックボックス化しており、内部不正の監視・対応が十分に行われていませんでした。

また、ウイルス対策ソフトは拠点ごとに導入されていましたが、EDR（Endpoint Detection and Response）（※1）が未導入で、高度な外部脅威への対策もできていない状況であったため、セキュリティ対策支援に際し、まずはどういった対策を実施すべきかを検討する必要がありました。

3．現状を把握し、優先度をつけた対策を立案

現状把握

お客さまのセキュリティ対策を実施するにあたり、NTTデータがまず実施したのは、お客さまが提供・利用しているシステムの構成把握でした。お客さまのシステムは、各クライアントの仕様に応じて構築されているため、それぞれのシステムにおけるお客さま情報の保管場所やアクセスルートを洗い出し、全体の構成管理を行いました。

また、システムの概要を把握する際には、セキュリティ対策の強化が必要な箇所だけでなく、利用者の通常業務にも注目しました。これは、セキュリティ対策を重視するあまり、業務に大きな影響を与えることを避けるためです。業務に従事する方々が普段どのように業務を行っているのかなどを把握した上で、一定のセキュリティ品質を保ちながらも利用者に負担をかけないセキュリティ対策を検討しました。

優先度をつけた対策を立案

現状把握後は洗い出したセキュリティ対策の強化が必要な箇所を元に、対策立案を行いました。
基本的な考え方は以下の通りです。

• （1）情報の出口を集約・限定した上で、想定されるリスクの対策を行うこと。
• （2）個人情報にアクセスできる特権アカウントに対するアクセス認証の強化と作業履歴の管理を行うこと。
• （3）機密情報の漏えいの可能性がある、従業員の不適切なふるまいを検知すること。

具体的な策として、以下を実施しました。

• IT資産管理製品によるUSBメモリの利用制限
• 端末認証強化による接続PC制御
• NW（ネットワーク）を集約し、Proxyとファイアウォールで外部からの攻撃と、内部からの不適切なアクセスを集中管理
• AD管理と特権管理による適切な権限付与とアクセス認証によるアクセス制御
• ログの収集、SIEM／UEBA（※2）による不適切な振る舞いの検知

立案した対策は多岐にわたりますが、特にADの構築、IT資産管理製品の導入支援、EDR製品の選定やSIEM／UEBAの導入、セキュアな閉域NW環境の再設計や再構築などが挙げられます。
対策の優先度としては、USBメモリの利用制限のためのIT資産管理製品の導入と、アカウント管理のためのADの構築を最優先に設定しました。
また、内部不正流出防止の観点から、一元的なログの監視が必要であったため、対策としてSIEM／UEBAの導入も重要視されました。

SIEM／UEBAは、さまざまなログから各ユーザの通常状態をAIにより学習（教師無し学習）します。学習を元に、通常状態から逸脱した行為をスコアリングして、内部不正・標的型攻撃を検知・追跡するソリューションとなります（図）。今回のお客さまのように数千台の端末があり、さまざまな勤務パターンや運営パターンが存在する場合、ベースラインを設定・調整し監視することは非常に大きな運用稼働がかかりますが、AIによる学習でその負担を大幅に削減することができます。

図：導入したSIEM／UEBAソリューションの機能概要

4．多岐にわたる施策で既存システムのセキュリティを強化

対策として、以下に示すような多角的な施策を講じました。

• （1）IT資産管理製品の機能を利用した端末制御
• （2）ADの機能を利用したアカウント、端末制御
• （3）EDR製品の機能を利用した端末、サーバ群のマルウェア対策
• （4）NWセキュリティ製品の機能を利用した外部との通信制御
• （5）特権ID管理ソリューションによる特権アカウント管理
• （6）未管理の端末やユーザのNW接続やログインを拒否するための拠点NW環境の再構築
• （7）SIEM／UEBAの導入による、従業員の行動や不正な振る舞いの監視、怪しい行動の事前検知

本件は新規のシステム構築ではなく、24時間365日稼働している既存システムへの導入でした。そのため、対策の実施には困難もありましたが、NTTデータが持つセキュリティ製品の導入や運用のノウハウを活用することで、無事に対策を実現しました。

5．あらゆるログを取得し、内部不正につながる不審な振る舞いを検知可能に

お客さまのシステムにはさまざまなセキュリティ製品が導入され、USBの利用制御やアカウント管理が実現しました。また、今回導入したSIEM／UEBA製品によって従業員の普段の行動を学習してベースライン化し、そこから逸脱した行動を異常な振る舞いとしてアラートで通知できるようになりました。

最新のセキュリティ製品を導入することも重要ですが、最も大切なのは、導入したセキュリティ製品が出力するログを収集し、それらを多角的に分析して攻撃の予兆を検知することです。また、ひとつのセキュリティ監視基盤でログを一元的に収集・分析することは、検知だけでなく実際に攻撃を受けた際の調査と対応の迅速化につながります。

お客さまの環境では、最新のセキュリティ製品の導入に加え、SIEM／UEBAを導入することで、従業員による内部不正や外部からの攻撃などを検知・対応できるセキュリティ監視基盤が構築されています。

6．おわりに

サイバーセキュリティにおいては、セキュリティ製品の導入も重要ですが、セキュリティ製品が出力するログをSIEM／UEBAに集約／分析し、適切な運用／監視をすることがとても重要です。今回ご紹介した事例では、セキュリティ製品の導入からログ収集、分析を実施し、これまでブラックボックスとなっていた従業員の行動の可視化に成功しました。

セキュリティ対策をしたいが何をすればよいかわからない方や、高度なセキュリティ監視システムを構築したい方、さらには高度なセキュリティ運用を実現したい方は、ぜひNTTデータまでお問い合わせください。