リスクスコアリングとは
本記事ではリスクスコアリングの概要について解説していきます。
リスクスコアリングは、ユーザーの普段とは異なる行動(異常)を発見する機能です。
機械学習の技術でアクセスログからレポート設定に基づいて学習をし、異常なユーザーを検知します。
機械学習の技術でアクセスログからレポート設定に基づいて学習をし、異常なユーザーを検知します。
例)
- 普段、日中にログオンしているユーザーが、突然深夜にログオンした
- 普段、開発関連のファイルにアクセスしているユーザーが、突然人事系のファイルにアクセスした
異常な行動をしたユーザーを検知することで、不正を行っている可能性のあるユーザーを見出します。
リスクスコアリング機能の特徴
レポート/アラートではレポート設定をユーザーが手動で設定して監視するのに対し、リスクスコアリングではAIを活用して自動でユーザーのインシデントを監視します。
レポートやアラートの場合は定義を手動で行い、以下のような監視をします。
レポートやアラートの場合は定義を手動で行い、以下のような監視をします。
例)
- ログオンの失敗を監視する
- 土日のアクセスを監視する
- 夜間のアクセスを監視する
- 特定のフォルダーへのアクセスを監視する
- しきい値を超えたアクセスを監視する
このような手法には、以下のような課題があります。
- 定義に当てはまらないインシデントや、その予兆を見逃す
- インシデントの見逃しを防ぐには、実環境の変化に合わせて監視等の定義を見直す必要がある
例)
機密情報が保管されているフォルダーへのアクセスを監視していたが、
ある時フォルダー名が変更され、監視ができない状態になっていた。
- ユーザー毎に最適な定義を行うことが難しい
例)
多くのユーザーは通常日中にアクセスが多く夜間のアクセスを監視対象とするが、
夜間にアクセスすることが通常である一部のユーザーにおいては逆に日中のアクセスを
監視対象にしなければならない。
リスクスコアリングは機械学習の技術を駆使し、以下のような特徴を活かしてこれらの課題を解決します。
- 管理者は細かな定義を設定する必要がない
- ユーザーごとに行動傾向を解析することで、ユーザーごとに最適な異常行動の定義が自動で更新される
- ユーザーごとに最適化された異常行動の定義からリスクスコアの算出を行うことで、レポート定義では発見が困難なインシデントやその予兆発見が可能
リスクスコアリングの仕組み
ALog ConVerter に内蔵されたデータベースに保管されているアクセスログから、レポート設定に基づいてユーザー毎の傾向を学習し、ユーザー毎のモデルを生成してリスクのスコア付けを行います。
リスクスコアリング機能は、「学習」と「検知」の2つの動作から成り立ちます。
リスクスコアリング機能は、「学習」と「検知」の2つの動作から成り立ちます。
学習
レポートで設定された学習期間のアクセスログのデータから、機械学習によりユーザー毎に基準となるモデルを生成します。
リスク学習タスクにて行われます。
リスク学習タスクにて行われます。
検知
リスク学習タスクにおいて生成されたモデルを用いて、ユーザー毎のリスクスコアを算出します。
レポートタスクにて行われ、結果はリスクスコアリング画面で確認できます。
レポートタスクにて行われ、結果はリスクスコアリング画面で確認できます。
スコアについて
スコアはリスクの大きさを表します。スコアが高いとリスクも高いと考えられます。
総合スコア
頻度スコアとパススコアを合算したスコアで、総合的にリスクの高いユーザーを確認することができます。
頻度スコア
1日の各時刻におけるアクセスログ件数の傾向をユーザー毎に解析し、リスクスコアを算出します。各ユーザーが普段どの時間帯にどのくらいアクセスしているのかが分かります。
異常な時間帯や異常な量のアクセスをしたユーザーを発見することができます。
異常な時間帯や異常な量のアクセスをしたユーザーを発見することができます。
パススコア
ファイルパスなどに含まれる単語の相関性などを元にユーザー毎の傾向を解析し、リスクスコアを算出します。
普段アクセスしないようなファイルパスへアクセスしたユーザーを発見することができます。
普段アクセスしないようなファイルパスへアクセスしたユーザーを発見することができます。