内部脅威と外部リスクを検知:GuardiumのAIによる振る舞い分析の可能性
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 久保田
こんにちは。セキュリティ担当の久保田です。
昨今AI利用により、取り扱うデータが増大しています。これに伴い、ログの分析を人手で行うことは困難です。
そこで、今回はDB監査ソリューションIBM Security Guardiumの機能の1つである自動分析機能について、実際の結果を交えながら紹介いたします。
1.自動分析機能とは
近年、AI利用の増加やデジタルトランスフォーメーション (DX)の加速に伴い、企業が取り扱うデータ量は爆発的に増大しています。これに伴い、データが様々な場所に分散し、従来の境界型防御ではカバーしきれないセキュリティリスクが高まっています。特に、生成AIなどの高度な技術は、サイバー攻撃者にも悪用され、攻撃の巧妙化と高速化を招いています。
このような状況下で、セキュリティ担当者が手動で全てのログやアラートを分析し、リアルタイムに脅威を特定・対応することは極めて困難です。もはや人手による運用では、ゼロトラストの概念が重視される現代のセキュリティニーズを満たすことはできません。
この課題を解決するのが、機械学習 (ML)や振る舞い分析 (UBA)といった技術を駆使した自動分析機能です。DB監査ソリューションGuardiumの「アクティブな脅威分析 (Active Threat Analytics)」と「リスクスポッター (Risk Spotter)」は、膨大なデータトラフィックの中から異常なアクセスパターンや内部脅威の兆候を自動で見つけ出し、リスクを可視化して早期対応を可能にします。
今回はデモ環境を用いてあえて普段行われないような大量のデータの取得や、権限付与など様々な不審な動きをすることで、「アクティブな脅威分析 (Active Threat Analytics)」と「リスクスポッター (Risk Spotter)」を通じてリスクのあるユーザを特定できることを紹介させていただきます。
その前に事前知識として、各用語の説明をさせていただきます。
Guardiumとは
IBM Security Guardiumは、データベースやクラウド上の機密データに対するアクセスを監視・保護するための統合データ・セキュリティ・プラットフォームです。アクセスログの収集・監査から、脆弱性診断、そして脅威の自動検出まで、データ保護のための幅広い機能を提供します。
アクティブな脅威分析(Active Threat Analytics)とは
いわゆる機械学習による脅威分析です。
外れ値マイニングプロセスや特定された攻撃の兆候に基づいて、潜在的なセキュリティ侵害ケースを表示します。
異常値マイニング・プロセスや特定された攻撃の徴候に基づいて、セキュリティー・ブリーチの可能性があるケースが表示されます。 ダッシュボードでは、ケースの表示と調査、および個々のケースに対するアクションを実行できます。
リスクスポッター(Risk Spotter)とは
いわゆるDBユーザを対象にした振る舞い分析です。
総括的なアルゴリズムを使用してリスク要因を動的に評価し、スマート・アルゴリズムを使用してシステム全体にわたる潜在的なリスクを識別します。
外れ値、脆弱性、アクティビティ量、機密データへのアクセス、特権コマンドの種類など、多数のリスク要因を動的に評価します。
2.設定方法
こちらはアクティブな脅威分析の設定画面です。
アクティブな脅威分析プロセスを有効化することで利用可能です。
こちらはリスクスポッターの設定画面です。
Enterprise Search、ユニット使用状況データ処理を有効化することでリスクスポッターを利用できるようになります。
3.分析結果
デモとしてSQLを実行したあとの結果をそれぞれ確認していきます。
アクティブな脅威分析
ダッシュボードからは、重大度が高、中、低のケースの一覧をそれぞれ確認することができます。
ケースを選択することで、詳細情報を確認することができます。
普段の振る舞いと問題のケースの動きの比較がされています。
今回はデモのため、分かりやすくしておりますが、55倍も増加していることが分かります。
さらに問題と思われるSQLまで確認が可能です。
リスクスポッター
複数のユーザにリスクがあることが分かります。
選択することでリスクのあるユーザのリスク・インディケーター(リスクの種類)を確認することができます。
さらに詳細を確認することもでき、該当のユーザの脅威カテゴリーも確認することができます。
普段大量データ抽出を行わないユーザが大量データ抽出をしていることから、インサイダー脅威:データ漏えいの可能性を示唆しています。
4.おわりに
増大し複雑化する現代のセキュリティリスクの対策として、IBM Security Guardiumの自動分析機能である「アクティブな脅威分析 (Active Threat Analytics)」と「リスクスポッター (Risk Spotter)」を紹介しました。
両機能は、単なるアラートの数を減らすだけでなく、セキュリティ運用者に本質的な価値をもたらします。
アクティブな脅威分析では、
普段と異なるアクティビティと捉え、さらにそのSQLまで特定することが可能になります。
即時対応として、 攻撃の兆候を迅速に捉え、具体的な侵害ケースとして可視化することで、初動対応のスピードを向上させることが可能です。
リスクスポッターでは、
リスクのあるユーザをリスク・インディケーター(リスクの種類)や期間を通して、一覧で確認することが可能です。
潜在リスクの可視化として、普段の振る舞いとの比較や、様々なリスクインディケーターを通じて、内部脅威や潜在的な脆弱性を早期に特定します。
爆発的に増えるデータの中で、セキュリティ担当者が手動で全てのログを分析し続けることは、もはや現実的ではありません。Guardiumの自動分析機能は、それを可能にします。
開発元であるIBMでも注力している機能の一つであり、お客様からのFeedbackを踏まえて製品改善を進めていく予定です。
日本IBMのカスタマー・サクセス・マネージャー(CSM)※とも協力しながらお客様をサポートさせていただきます。
※お客様に効果的に製品をご活用いただけるよう、無償で技術的な支援を提供する職種
DBログの自動分析にご関心のある方は是非お問い合わせいただければと思います。
