ユーザーの普段の行動を機械学習し、
不審な振る舞いを即座に検知
“侵入された際には迅速に検知して対処する”手段の一つとして、NTTデータが2018年10月より導入を開始したのが「Exabeam(エクサビーム)」である。
Exabeamはネットワークの社内外の境界部に設置された各種セキュリティー機器や外部Webサイトへのアクセスを制御するプロキシサーバー、ユーザー管理システムなどから収集した各種ログを組み合わせて分析し、一人一人の日常のPC利用パターン(振る舞い)を機械学習するUEBA(User and Entity Behavior Analytics)※1製品だ。機械学習を行い、普段とは異なる不審な振る舞いを検知した際にはセキュリティー管理者にアラート(警報)を発する。
※1 ログなどを基にしてユーザーの行動分析を行い、不正な行動やリスクを検知する技術。
「それぞれの社員が、毎日どこで何時ころに始業し、どういったメールをどういうところに何通くらい送り、どのようなWebサイトにアクセスし、何時ころに終業するか。あるいは、出張先ではどこから接続しているかといったことを機械学習し、日常の振る舞いをモニタリングします。例えば、普段とは異なる時間帯に通常は訪れない拠点からリモートアクセスがあり、普段使用しないサーバーへ何度もアクセスがあった場合、不正侵入が疑われます。この場合、その社員のネットワークアクセスを即座に遮断し、二次感染やデータ窃取の被害を最小限に抑えるのです」(本城氏)
また、同社技術革新統括本部の矢竹清一郎氏(システム技術本部 セキュリティ技術部 グローバルセキュリティ推進室 課長)は次のように説明する。
「今日、UEBA製品はさまざまなベンダーが開発・提供しています。その中からExabeamを選ぶ決め手となったのは大きく3点あります。まず、『大量の機器の膨大なログ』を分析・学習し、『ユーザーごとのタイムライン』で表示するという点。2点目としては、グローバルでの展開を想定していたため、『開発元ベンダーのグローバルでのサポート』と『多言語対応』が必要でした。3点目として、ログの量が増大しても変わらない『ライセンスコスト』も選択の決め手になりました」
Exabeamの特徴について矢竹氏はこう続ける。「Exabeamは“ユーザー”に着目して監視する点が大きな特徴です。最近のウイルスは巧妙化が著しく、侵入して活動した痕跡を自分で消してしまうものもあります。多くのウイルスはデータ窃取が目的であり、そのためにさまざまな通信を行います。その通信をExabeamはユーザーごとにタイムラインで表示、機械学習し、怪しい振る舞いを検知します。この機能によりセキュリティー運用で監視できる自動化範囲が拡大し、『分析・検知力の強化』につながりました」。
Exabeamは現在、NTTデータグループの世界7拠点で運用されており、グループ全社員に加えて、グループ各社のオフィスで業務に当たるパートナー企業の社員もモニタリング対象としている。
「当社では毎月、Exabeamで約750億件のログを分析しています。機械学習や検知の精度を高めるために、分析対象とするログの量は今後増え続けるでしょう。おそらく数年で2~3倍になると推測しています。多くのUEBA製品は分析するログの量に応じて使用料金が決まるため、その分コストも膨れ上がります。それに対して、Exabeamはユーザー数を基にした料金体系を採用しており、ログが増え続けてもコストを抑えられるのです」(矢竹氏)
