特権アクセスレポートを抽出し、内部不正の早期発見と迅速な対応を可能にする

はじめに

こんにちは
ジュピターテクノロジーです。

働き方がリモート環境に変化している昨今、サイバー攻撃や内部不正が活発化しています。

IPA(独立行政法人 情報処理推進機構)が毎年発表を行っている「情報セキュリティ10大脅威」では昨年に引き続き、脅威の度合いとして上位を占めたのがランサムウェア・標的型攻撃です。
また、脆弱性の情報公開前を狙う外部攻撃、不正や不注意による内部からの情報漏えいも近年高い順位に上る傾向があります。

参考URL:情報セキュリティ10大脅威 2022:IPA 独立行政法人 情報処理推進機構

このような状況の中、情報漏えいの主な原因である外部攻撃、内部不正に対する対策は必須です。

外部攻撃、内部不正両方に対して有効なのが重要な情報に対してアクセス管理を実施することです。

特権を持ったユーザーのみ機密情報にアクセスを許可することによって、不必要に情報にアクセスする機会を減少させることで外部攻撃と内部不正に対応します。

また、実際に情報が漏えいした際に有効なのが証跡の記録です。実際に調査でどの程度、何が情報漏えいしたのかを早期に判明させることによって企業が失う信用を最低限にとどめることが可能です。

弊社製品である特権セッション管理製品「Safeguard for Privileged Session(SPS)」ではセッションの管理を行い、情報漏えいを予防します。

情報にアクセスした際の証跡を映像として残すことで、実際にことが起きた際にも素早い問題対応が可能です。

この製品の基本的な解説については 
もう誰も信じない!ゼロトラストで構築されたSPS | ジュピターテクノロジーblog (jtc-i.co.jp)
 
RDP接続については 
RDゲートウェイとしてSPSを使用し、リモートワークのセキュリティ強化 | ジュピターテクノロジーblog (jtc-i.co.jp)

SSH接続については 
SSHリモートアクセスのゲートウェイ認証【Safeguard for Privileged Sessions(SPS)】 | ジュピターテクノロジーblog (jtc-i.co.jp)

HTTP接続については 
ゲートウェイ認証を利用したHTTP接続でアクセス制限を行う | ジュピターテクノロジーblog (jtc-i.co.jp)

特権アクセス管理については 
特権IDアクセス管理とは? ~特権セッション管理の必要性~ | ジュピターテクノロジーblog (jtc-i.co.jp)

ご覧ください

Safeguardレポート機能

今回はSafeguardのセッション管理した記録を統計として抽出する機能をご紹介します。

このレポートによって日々のアクセス管理状況が一目でわかり、不正の可能性をいち早く察知することが可能です。

SPSでは月次、週次、日次レポートの三種類をPDFとして出力することが可能です。(弊社環境でのテストデータでの結果になります)

主な出力項目としては以下になります

  1. ポリシーごとの接続セッションとその回数
    セッションをポリシーごとに統計します。ここではRDP、SSHとHTTP接続の統計を出しています。

  2. 接続成功、失敗回数の統計
    接続がそもそもどのくらい成功と失敗しているのかを見ます。あまりに失敗数が多いと、不正な接続を試行している可能性があります。
  3. 接続元の接続割合
    クライアントPC等の「どこから」接続があったのかの統計になります。
  4. 接続先の接続割合
    サーバー等の「どこへ」接続したのかの統計になります。
  5. 接続時間が長い、上位10件のセッション
    接続開始時間、接続終了時間、接続元と接続先情報も記載しています。
  6. 接続時間が短い、上位10件のセッション
    同様に接続開始時間、接続終了時間、接続元と接続先情報を記載しています。

    これらのほかにも以下のように項目があります。

    システム関連項目として
    • システム容量使用状況
    • ネットワーク接続状況
    • システム平均負荷

      設定変更に関する統計について
    • 変更した設定項目ページ
    • 変更を行ったユーザー
    • 変更を行った時間
    • パスワードの変更を行った回数、時間

      このような項目が設定できます。

不正な証跡をUIから発見する

このレポート結果で問題がある接続が発覚した場合、セッション一件ごとに映像として証跡を記録しているので、対象となる接続をブラウザUIのほうで検索し、プレイヤーで再生することでどういったことが行われたか一目でわかるようになっています。

まずは不正だと思われる接続を検索します。グラフの情報をもとに対象セッションを検索します。


セッションを見つけたのち、実際の証跡を閲覧します。ブラウザ上での閲覧も可能ですが、ここでは専用プレイヤーにて再生するので証跡のダウンロードを行います。



専用プレイヤー(Safeguard Desktop Player)を立ち上げます。



対象の証跡を再生して、どのような操作を行ったか調査ができます。(赤い枠線の中の青い箇所は操作頻度が多い箇所です)



不正な操作を確認しましたら、対象の接続元IPから端末と操作を実施した人物を特定し、内部不正を早期に発見、対処することが可能です。

おわりに


このように特権セッション管理製品「Safeguard for Privileged Session(SPS)」では詳細なレポート情報から不正をいち早く発見することが可能です。

IPA 「内部不正による情報セキュリティインシデント実態調査」によりますと三割もの企業が内部不正に際して起訴・処分を行わなかったとしています。

参考URL:「内部不正による情報セキュリティインシデント実態調査」報告書について:IPA 独立行政法人 情報処理推進機構

そのうち五割以上は証拠や情報不足であったり、不正自体を特定できないものになっていました。このような背景からも本製品は不正対策として非常に有用だといえるかと思います。

SPSは情報漏えいの原因究明、調査を迅速に行って社会的信用の低下を最小限度に抑えることが可能になっています。

製品詳細・お問い合わせ

購入前のお問い合わせ、詳細な説明や実機によるデモのご希望も承っております。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP