とはいえ、上述した5つのポイントを踏まえた内部不正対策を含むインサイダー脅威対策を手作業だけで実行するのは現実的ではない。これまでは、多くのセキュリティーアナリストが1件のアラートについて40件を超える関連項目を調査し、重要度を分析していた。しかしこの作業には多大な時間がかかるため、結果を得た頃には、既に手遅れとなっているケースも珍しくない。
こうした課題の解消に向けてExabeam社では、包括的なソリューションを提供している。それが、社内のあらゆる機器からログを収集するSIEM(Security Information and Event Management)、集めた膨大なログをAIが分析するUEBA (User and Entity Behavior Analytics)、検知した脅威に自動対処するSOAR(Security Orchestration, Automation and Response)といったツールを統合した「Exabeam New-Scale Fusion」だ(図1)。Exabeamは、バラバラに収集されたログデータを統合して意味のある情報へと変換。さらにこれらの情報を相互に紐付けて、機械学習(ML)による分析を実現するソリューションだ。
「過去10年以上にわたり我々が培ってきた機械学習を活用したソリューションの実績を生かし、集約された大量のログからユーザーの正常行動パターンを学習します。そして、そのベースラインからの逸脱を自動的に検知し、一連のイベントを紐づけてリスク分析することで、静的なルールでは判別が難しい普段と異なる危険な振る舞いを、リアルタイムで発見できる点が強みです」(畑瀬氏)
これを支えているのが、AIを活用した高精度のリスクスコアリング機能だ。ユーザーの振る舞いをとらえたタイムラインを自動生成して評価し、様々なイベントの組み合わせの特異性、アラートの信頼性、対象ユーザーの重要度といった複数の要素を考慮した上で、客観的かつ正確なリスクスコアを自動算出する。
さらにSOCアナリストに対しては、脅威の迅速な調査と対応もサポートする。「Exabeam Nova」という独自の生成AI機能がそれだ(図2)。
「リスクスコアが高いと判断された事象について、『脅威の概要』と『起こりうる脅威』、さらに『推奨される次のステップ』をまとめたレポートが自動生成されます。また、この調査の中で疑問点があれば、チャット形式で質問を投げかけて、その場で解決することができます。これにより、セキュリティーにあまり詳しくないシステム運用担当者でも、上級アナリストに匹敵する迅速な調査と対応が可能となります」と畑瀬氏は説明する。
こうした点が着目され、導入する企業も多い。その1つが国内のある大手金融機関だ。同社では当初、「複数のシステムからのログを個別に確認する必要があり、リアルタイム性が欠如している」、「リモートワークの常態化に伴いコミュニケーションツールが増えたことで、モニタリングの負担が増加した」、「想定しうる内部不正のリスクシナリオに基づいた既知のリスクは検知できるが、未知のリスクが抽出できない」といった状況に危機感を抱いていた。これらの課題をExabeamの活用により包括的に解決した。
「AIを活用した行動分析により、普段と異なるユーザーの異常な行動を区別し、情報漏えいなどの内部不正を未然に検知することが可能となりました。加えてAIによる膨大なログのリアルタイム分析により、モニタリングの作業負担が軽減して検知精度も向上し、迅速な対応を実現しています。また、タイムライン機能によって各種ログがユーザー単位で時系列に整理され、モニタリング網羅性を向上することで、想定外の異常な行動の発見にも貢献しています」と畑瀬氏。その結果、全社的なセキュリティーレベルを向上し、IT部門の担当者も本来の業務に集中できるようになったという。
インサイダー脅威対策は、もはや従来の性善説に基づくアプローチでは通用しない。エージェンティックAIによってもたらされる、迫りくる新たな脅威への対策も見据え、機械学習や生成AIをベースとする最新技術を活用することで、より客観的かつ自動的に不正行為を検知する仕組みづくりへと対策を進化させていくことが肝要だと言えるだろう。
