一辺倒なサイバーセキュリティ施策ではダメな理由

なぜ、一辺倒なセキュリティ施策ではダメなのか。

それには、年次や季節によって発生する様々な事象が関係しています。それをここでは、「季節性」と呼ぶことにします。そんな「季節性」がどのようにセキュリティ施策と関係してくるのか、実際に企業にてよく生じる事象を例にとってみましょう。

企業ネットワークでは、ユーザーやホストは次のような「季節性」をもって、行動をする傾向にあります。

• 毎週月曜日に大量のクエリーが発生するデータベースサーバー
• 隔週で土曜日に仕事をするユーザー
• 月に一度だけ、特に月末の営業日に特定のファイルサーバーにアクセスするユーザー

上記の3つの例は、比較的稀に発生するものの、あくまで季節性であり、異常ではありません。

アノマリー（anomally）とは、定義上、ある程度予測された状態からの逸脱を指します。この3つの活動（およびそれに似たもの）は、稀ではありますが、何度か起こるうちに通常のイベントとして受け入れられるようになるため、異常ではありません。季節的なトレンドに沿った正常な活動なのです。

サイバーセキュリティとしての異常の検出

企業がサイバー攻撃の可能性を排除するためには、ネットワークで発生した異常を検出することが重要です。このため、企業は通常機械学習アルゴリズムによる異常検知機能を備えたセキュリティ分析ソリューションまたはSIEMソリューションを使用します。このソリューションでは、ネットワーク上のすべてのユーザーとホストについて、予測される動作のベースラインを作成します。ユーザーやホストの観測された動作が学習された閾値を逸脱した場合、その動作に異常のフラグが立てられ、それに応じてリスク・スコアが引き上げられます。

季節性を識別できる異常検知機能

異常検知に使用される機械学習アルゴリズムは、この「季節性」も考慮に入れられていなければなりません。ユーザーやホストの行動に対する季節的な影響を理解し、特定の行動が稀であっても異常でないと識別できる必要があります。つまり、「季節性」を考慮して、誤検知を防がなければなりません。では、逆に、この「季節性」の中で、異常と判断されなければいけないケースはどれになるのでしょうか。以下のユースケースごとに見ていきましょう。

季節性の実用事例

ある銀行は、毎月第1と第3の土曜日に営業活動を行います。しかし、ある月の第2土曜日に、セキュリティ分析プラットフォームが、従業員によるネットワークへのログインを検知しました。しかし、まだあまりチューニングされていないシステムであれば、この従業員は前の土曜日にオンラインになっていたのだから、今日もそうなのだろうと判断して「正常」と判断するはずです。しかし、「季節性」のベースを把握しているシステムならば、このような状況でも異常を発見することができます。特に、ひと月の中で、それぞれの土曜日に発生する挙動の違いを学習していることで、普段の土曜日の業務動作パターンと逸脱していることが分かった場合、アラームを発報し、その従業員のリスクスコアは上昇するような仕組みとなります。