機械学習による異常行動検知技術

KCCS

昨今のセキュリティ脅威と課題

昨今、企業にとって複雑・高度化するセキュリティ脅威への対策が急務となっています。

マルウェアや標的型攻撃など、外部攻撃による情報漏えいは社会的に大きな影響を与えますが、実際に発生している情報漏えいの約80%は従業員の不正行為や操作ミスといった内部脅威が原因であると言われており、多くの企業において、社有デバイスを管理・制御し、ログを収集するエンドポイント対策型の情報セキュリティ対策製品の導入が進んでいます。

しかし、このような製品は有効なセキュリティ対策ではあるものの、収集されるログが大量になると、脅威検知アラートが大量に発生して管理不能となり、重大なセキュリティインシデントを見逃してしまう、あるいは、アラート発生を抑制するために脅威検知レベルを高めに設定してしまい、同様に重大なインシデントを見逃してしまう、などの危険性も潜んでいます。従業員が多く、収集されるログも多い企業では、大量のログの有効活用ができていない、あるいは、インシデント抽出のためのフィルタリング作業に人的リソースやコストが掛かってしまう、などの課題を抱えているのではないでしょうか。

機械学習による異常行動検知技術

KCCSでは、このような課題を解決すべく、大量のログデータから人的作業に依存せずに「本当に危険な行動」を自動抽出する「機械学習による異常行動検知システム」の研究・開発を行っています。

【1】独自アルゴリズムにより大量の操作ログからファイルの操作遍歴を生成・可視化

USBメモリへの書き出しやメール添付での送信など、日々発生するさまざまな形での情報(ファイル)の持ち出しについて、収集したログを元にそのファイルの作成時までを遡り、各ログを一連の操作遍歴として生成し、行動を可視化します。そして、独自開発のアルゴリズムにより、操作が行われた時刻やデバイス、メールアドレスなど、複数の要因からインシデントとなり得る危険性を算出します。

独自アルゴリズムにより大量の操作ログからファイルの操作遍歴を生成・可視化するイメージ

【2】機械学習エンジンによる情報漏えいリスクの絞り込み

機械学習エンジンによる情報漏えいリスクの絞り込みイメージ

過去の情報漏えい事例を学習

過去数年にわたって発生した情報漏えい事例を分析し、その特徴量を抽出。これらを学習データとして機械学習を行い、独自アルゴリズムによって生成・可視化した操作遍歴に対して、情報漏えいリスクを数値化し、「本当に危険な行動」のみに絞り込みます。

管理者によるリスク判定結果を学習

加えて、管理者による判定結果を機械学習し、管理者の判断基準を日々のインシデント検知に反映します。これにより、企業のコーポレート・ガバナンスの体制や業種・職種による実情を考慮した形で「本当に危険な行動」を抽出・検知することが可能となります。

過去の情報漏えい事例と管理者によるリスク判定結果を学習するイメージ

当社における実証実験では、管理者が確認するデータ量を1/100以下に削減することができています。

情報漏えいは、被害を受けた顧客への実害の有無に関わらず、発生させた企業にとっては損害賠償や信頼の損失など大変な痛手をもたらします。KCCSは、企業・顧客の情報を守り、企業の健全な経営の持続に貢献すべく、今後も継続して技術開発を行って参ります。