こんにちは。Ekran営業支援のコルンジックです。
今回はEkranのアラート機能についてご紹介いたします。
しかし、ただ延々と記録を取り続けるだけでは、十分な対策とはいえません。
不正な操作が行われても管理者に気づかれず、事業に大きな損害が出てから発覚したのでは手遅れです。
不正操作が行われたときに管理者がすぐに知ることができ、操作内容をすぐ確認できれば、被害を生むリスクは最小限に抑えられます。
先日、金融系企業の社員による不正送金事件が報じられました。
容疑者は自宅でのテレワーク中に、海外にある子会社名義の口座から、アメリカの銀行口座に資金を移した、とのことです。
どのような対策を行っていれば、事件を早期発見し、被害を防ぐことができたのか。
Ekranのアラート機能を使った対策方法をご案内します。
シンプルだからこそ柔軟に対応できる、Ekranのアラート設定
Ekranのアラート設定は、とてもシンプルな構成です。
・「何を」「どんなキーワードで」検知させるか
・「誰に」「どんな方法で」知らせるか
・「どのコンピューターで」検知させるか
設定するのはたったこれだけ。
シンプルだからこそ柔軟にルールを組み合わせて、ユーザーのリスク行動をキャッチできます。
先述の不正事件を例に、設定の流れをご説明いたします。
1. ルール設定 ~「何を」「どんなキーワードで」検知させるか~
インターネットによる送金手続きを行うには、オンライン口座へのサインインが必須となります。
サインインページでは、URLに「signin」や「login」といった文言が入ることが多いため、
類似ワードを含めた以下のキーワードをルールに設定します。
キーワードを”;”でつなぐことで、複数の文言を指定することができます。
検知カテゴリ:URL
キーワード:login;log-in;logon;log-on;signin;sign-in;signon;sign-on;signup;sign-up;auth
比較演算子:を含む
しかし、この設定だけでは業務で必要なサービスへのログインも検知されてしまいます。
そこで、業務で利用するサイトのURLに対して、除外設定を追加します。
今回はZoomを除外します。
検知カテゴリ:URL
キーワード:zoom.us
比較演算子:含まない
追加したルールはand条件となるため、「login等を含み」、かつ「zoom.usを含まない」URLがアラート検知対象となります。
※設定内容により、or条件となる場合もございます。
2. アクション設定 ~「誰に」「どんな方法で」知らせるか~
次に、アクション設定を行います。
今回は、管理者へのメール通知と、ユーザーへの警告通知を有効にします。
3. 対象クライアント選択 ~「どのコンピューターで」検知させるか~
あとは検知を有効にするクライアントコンピュータを選択すれば、設定完了です。
では、実際の動作を見てみましょう。
管理者にもユーザーにも不正操作をすぐに知らせる、リアルタイム検知
クライアントコンピューターで銀行のログインページにアクセスすると、以下のような警告メッセージが表示されました。
管理者のメールアドレスには、Ekranから通知メールが届きました。
メールの内容からアクセスしたサイトのURLが確認でき、”View Session”のリンクから検知時の操作画面を再生することもできます。
こうしたアラート機能の動作により、管理者がリアルタイムで不正操作に気づくことができます。
ユーザーに対しても、その場ですぐに抑止を働かせることができます。
ちなみに、ユーザーがzoomのサインインページにアクセスした際には、除外設定によりアラートが検知されていません。
※Ekranでアラート検知された操作は、テキストログが黄色くマーカー表示されます。
テンプレートも豊富!新しいルール設定を作るときの参考にも
今回の例ではURLを検知対象にしましたが、ほかにも下記のようなカテゴリを指定することができます。
・アプリケーション名(.exe)
・ウィンドウタイトル
・キーストローク(Windowsのみ)
・クリップボード(Windowsのみ)
・コマンド/パラメーター(Linuxのみ)
また、こうした設定を手動で行わなくても、Ekranには80種類ものテンプレートがあらかじめ用意されています。
「SNS利用」「クラウドソーシング」など、情報漏えいリスクに配慮したテンプレートや、管理者権限が必要となるOSの設定に関するテンプレートもございます。
アラート設定を簡易的に行いたい場合や、ご自身でアラートルールを作成するときの参考にご活用いただけます。
シンプルだからこそ無限の組み合わせがある、Ekranのアラート機能。
パズルのように楽しみながら、使いこなしてみてはいかがでしょうか。
==ご注意==
・URLに「login」等の文言を含まないサービスもございます。その場合は、URLやウィンドウタイトルで”Banking”等をキーワードに指定したアラート設定を、別途作成してください。
・アラートの作成・動作確認およびその後の運用は、お客様の作業範囲となります。Ekran のアラート機能によってご利用目的を達せられるかどうかは、事前のトライアル段階で十分にご検証ください。
======
ご紹介した機能に関するご質問は、下記のリンクよりお気軽にお問い合わせください。
次回の更新も、どうぞお楽しみに!
(執筆:Ekran営業支援 コルンジック)
