国内最大手のケーブルテレビ事業・番組供給事業統括運営会社である株式会社ジュピターテレコム（以下、J:COM）では、さまざまな施策を組み合わせての外部脅威対策に続き、社員のミスや故意による内部不正対策に取り組み始めた。

　一口に内部不正対策といっても、実現にはさまざまな困難がつきまとう。J:COMはいったいどのようにこの課題に取り組んだのだろうか。同社サイバーセキュリティ推進部のマネージャー、筒井英樹氏は「J:COMの内部不正監視、『今そこにあるデータ』の徹底活用」と題する内部脅威対策セッションで、そのポイントや苦労した点を紹介した。

分析と振る舞い検知、個別の解析を組み合わせて内部不正検知のカバレッジを拡大

ケーブルテレビ局などさまざまな法人を買収していくなかで事業を拡大してきたJ:COM。以前は「セキュリティレベルは法人やシステムによってさまざまだった。だが、セキュリティは弱い部分が狙われるもの。このままではいけないと考え、ベースラインを定めて全体の底上げに取り組み始めた」（筒井氏）。SOCの新設、セキュリティ規則の見直しや教育、システム面での対策など、さまざまな施策を進めていった。

　その次に取り組み始めたのが内部不正監視だ。「すべての内部不正リスクを監視するのは現実的に不可能だ。しかし、なるべくその範囲を広げたいと考え、分析・解析による検知と、不審でレアな振る舞いに対して機械学習技術を用いて見つけるUEBAによる検知という2本の柱を組み合わせることにした。その柱に加えて、CASBによるSaaSの監視などといったピンポイントの解析を埋め込み、カバレッジを広げていく方針をとった」と筒井氏は述べた。

　そして、これら解析を行うためのセキュリティログ基盤として「Splunk」を採用し、分析・解析用ダッシュボードを開発した。このログ基盤には、エムオーテックスの協力を得ながら、LanScope Catのログも集約している。

さまざまな情報を補い、約60のシナリオを検知する「理想のログ」に近づける取り組み

株式会社ジュピターテレコム サイバーセキュリティ推進部　マネージャー　筒井 英樹 氏

もちろん、やみくもにデータを集めても適切な解析ができるとは限らない。J:COMでは、「まず最初にいろいろな部署の人に集まってもらい、『われわれにとって内部不正の脅威とは何か』の洗い出しから始めた」（筒井氏）という。

　洗い出しは、「当社で情報を持ち出すとしたらどのような人物か」「どの業務を行っていたら、どのシステムから、どのような情報を出力できるのか」「情報を持ち出すとしたら、どのような手段を駆使することができるか」など……さまざまな可能性を議論して約60ものシナリオを列挙し、それを監視するにはどんなログが必要かを検討した。もし顧客情報の持ち出しを監視するならば、社内Webシステムからのデータのダウンロードログやメールへのデータ添付のログ、送信ログなどをチェックすることになる。

　「このようにして、監視に必要な『理想のログ』を定義した。ただ、実際には理想通りにはいかず、思うようにログが取れないことも多い」と筒井氏は振り返った。

　例えばWebシステムのログ1つとっても、内部不正監視の観点からは「いつ、誰が、どんなデータを何件ダウンロードしたか」といった情報が求められる。だが、システムに無数にあるファイルのうちどれを監視すべきかが分からなければ監視は不可能だし、それぞれのWebシステムの仕様の制限から、取得できる情報には限りがあることが多い。

　「こうした諸問題を真正面から解決しようとすると、莫大な時間とコスト、労力がかかり、話が進まない。ただ、理想のログが手に入らないというところで止まってしまうと、まったく監視ができないことになる。そこで、何とかして情報を補いたいといろいろ考えた」（筒井氏）

　そこで役に立ったのが、LanScope Catで取得していたログだ。ファイルダウンロードの履歴と該当システムのログを突き合わせたり、Office 365のログを突き合わせることで、流出しては困るファイルの特定やメールへの添付といったさまざまなアクションを監視できるようにした。「当初欲しかった情報すべてが得られているわけではないが、LanScope Catのログがかなり役に立っている」（筒井氏）

蓄積した情報をダッシュボードで可視化し、最後は「業務か否か」で判断

株式会社ゴーアヘッド　代表取締役　中村 光宏 氏

　J:COMはさらに次のステップを目指している。「弊社のログの量は、今、1日あたり約160GBに上っており、もはや人間の目で見てどうこうできる量ではなくなっている。これを分析し、可視化して監視できる状態に持っていかなければならないと考えている」（筒井氏）

　そこで株式会社ゴーアヘッド（以下、ゴーアヘッド）の協力を得ながら、Splunkを基盤としたダッシュボード開発を進めている。ゴーアヘッドの代表取締役で「Splunk Ninja」の中村光宏氏は、「ログデータは一般にインシデントレスポンスやフォレンジックのように、何かコトが起こった後に使われるが、それでは遅い。やられた後に見つけるのではなく、やられる前に未然に気づくプロアクティブな仕組みが求められる」と、そのコンセプトを紹介した。

　ゴーアヘッドが開発しているダッシュボード「J:COM 上空俯瞰れーだ」では、J:COMが列挙した約60の脅威シナリオを元にLanScope Catから得られるログをグルーピングし、顧客情報の流出につながるいくつかの「導線」や「動機」を見出していく。そしてSplunkに集約したデータを、独自のヒューリスティックロジックを用いて解析することで、断面ではなくプロセス全体を見ながら脅威シナリオと突き合わせ、内部不正かどうかを判定する仕組みだ。これにより、解析に付き物の紛らわしいデータやノイズを排除しながら分析が行えるという。

　J:COM 上空俯瞰れーだでは、約15,000台に上る監視端末の中から不審な端末を絞り込めるほか、機微データの流れを「kaleidoscope (d3.js)」で可視化したり、疑わしいユーザー1人1人のタイムラインを追ったり、あるいは過去2ヶ月間をさかのぼって推移を見たりと、さまざまな切り口で分析が行える。

　最後に再び筒井氏が登場し、「ダッシュボードができて監視できる状態になったら、次に必要なのは人による判断だ。ダッシュボードの情報は基本的にすべてグレーであり、白か黒かの判断は人がしないといけない」と述べた。同社の場合は、「それは業務か否か」「業務上必要な行為か否か」を基準に、日々上がってくる内部不正のアラートを仕分けしているという。
　仕分けを行う際には、不審行動の確認は必ず上司を含めて行う。グレーなものは面倒がらず、必ず確認する（抑止効果も狙い）などの点に注意しながら慎重に行っている。

　「ログという事実をベースにダッシュボードによる分析と可視化を行い、仕分けをかけていくことが重要だ。われわれはこれを、外部脅威のインテリジェンスに対し『内部不正のインテリジェンス』と呼んでいる。これらは外部から購入できる情報ではないため、自分たち独自の情報を蓄積していくしかないと思っている」と述べた。

　実は同社は、内部不正監視への取り組みを機に、LanScope Catから他製品への乗り換えも検討したそうだ。しかし「SIEM連携に力を入れ、ログを徹底的に活用するというエムオーテックスの姿勢を感じて継続することにした」と筒井氏。「Splunkに投入することにより、証跡確保のためだけで寝かせていたLanScope Catのログが宝の山になった」と振り返り、講演を締めくくった。