Jennifer Langston
Feb 20, 2020
※ このブログは、米国時間 2 月 20 日 に公開された ”How Microsoft 365’s new solution uses machine learning to stop data leaks and insider attacks” の抄訳です
2 週間後に退職すると最近表明した従業員が、もし企業ネットワークから大量のファイルをダウンロードし、USB にコピーし始めた場合、その人自身は特に悪意を持ってそのような行動をしていないかもしれません。自らの雇用情報に関する無害なファイルや、自分で作成したマーケティング資料の事例を保存しているだけかもしれないのですから。
ただ、ごく少数のケースでは、社外秘の製品設計や機密性の高い法的情報、従業員の個人データ、さらには企業秘密をライバル企業に持ち込もうとする従業員がいるかもしれません。
企業がこうした「内部リスク」を見つけるのは難しいことです。ましてや、一般的な挙動と、企業の競争力や評判を傷つけるような異常な挙動を見極めるのはさらに困難です。
マイクロソフトが Microsoft 365 で新たな Insider Risk Management ソリューションを提供するのは、こうしたことが背景にあります。新ソリューションは、機械学習を駆使して社内の危険な挙動をインテリジェントに発見します。また、不注意による行動も含め、どの行動が最も実際のセキュリティ脅威に結びつく可能性が高いか特定します。
実際のリスクにつながるのは、内部攻撃よりもミスが原因となることが多いため、新ソリューションは従業員が正しい選択をし、セキュリティの一般的な過失を避けるよう支援します。ソリューションの効果を高めるには、同ソリューションが従業員の作業速度を落とすものであってはならず、作業を支援するものにしなくてはならないことをエンジニアも認識しています。
「基本的に、企業の従業員は常に正しい行いをしようとするものです」と、マイクロソフト 最高情報セキュリティ責任者 兼 コーポレートバイスプレジデントのブレット アルセノー (Bret Arsenault) は話します。「しかし、結果とは異なる意図が潜んでいることも時にあるのです」
数年前、アルセノーはセキュリティ脅威によって眠れない夜を送っていました。その理由は、マイクロソフトが少人数の専門家や最先端テクノロジを駆使して阻止しようとしていたハッカーやサイバー犯罪者、また国家攻撃だけが要因ではありませんでした。アルセノーが懸念していたのは、企業内で最も機密性の高い情報に簡単にアクセスできる従業員が引き起こすかもしれないリスクでした。その多くは意図的ではないものの、時には悪意のあるものも存在するためです。
例えば、誰かが誤って機密情報を企業内の誰もが検索できるフォルダ内に保存し、持ち出しやすい状態にしてしまうことも考えられます。また、非常に機密性の高い文書をボタンの押し間違え一つで社外にメール送信してしまうこと起こり得ます。
サイバーセキュリティ専門家に対する最近の調査では、90% の組織が社内リスクの脆弱性を感じており、3 分の 2 が外部からの攻撃よりも、悪意を持った内部攻撃や事故による侵害が発生する可能性の方が高いと考えていることがわかりました。また、半数以上の組織が、過去 1 年間に内部攻撃を受けたと報告しています。これは、Crowd Research Partners の内部脅威に関する調査によるものです。
「セキュリティ業界では、やたらと外部の敵にばかり焦点が当てられています」と、アルセノーは話します。「しかし、日々何千人もの従業員が企業システムにログインしていることを考えると、こうしたユーザーによる脅威は、不注意にしろ悪意を持ったものであるにしろ、リスク要因としてより大きいかもしれません。マイクロソフトは、より注力する分野を拡げる必要があると気付いたのです」
アルセノーは、自ら率いるセキュリティチームのエンジニアと Microsoft 365 のエンジニアに対し、機械学習を駆使してインテリジェントに社内のセキュリティ侵害を検出・防止できるソリューションを構築し、最終的には同ソリューションをお客様にも提供できるものにするよう指示しました。ただし、設計にはマイクロソフトの基本方針を念頭に置かなくてはなりません。つまり、従業員のプライバシーを尊重すること、本来は皆が善意によって行動していると想定すること、そして社内では情報を自由にやり取りしコラボレーションを促進するという方針を忘れてはならなかったのです。
Insider Risk Management ソリューションは、生産性ツールの Microsoft 365 や Windows OS、Azure クラウドサービスからの膨大な量のアラートと、機械学習アルゴリズムを組み合わせ、これらの製品を利用しているユーザーの異常な挙動や潜在的リスクのある挙動を特定します。
プロダクトエンジニアは、マイクロソフトの内部セキュリティアナリストや人事担当者、その他社内の専門家と蜜に連携したほか、マイクロソフトのプライバシーに対する強い責務に理解を示す国の労働者擁護団体とも相談した上で、ソリューションが従業員のプライバシーとワークフローの双方を尊重して適切なバランスが保てるものとなるよう努めました。
マイクロソフトで内部脅威担当シニアプログラムマネージャーを務めるエリン ミヤケ (Erin Miyake) は、「内部リスクが拡大しつつあり、そのコストも課題となっていることはわかっていましたが、対処するには全く異なる手法が必要でした」と語ります。ミヤケは、今回の新ソリューション開発にあたり、人事、コンプライアンス、製品の専門家と協力しました。
「そもそも今回はすでに業務の一環として企業資産にアクセスできる人を対象としているため、検知がより難しいのです」とミヤケは話します。
また、社内ですでに働いている人の行動を分析することから、企業文化やプライバシー、公平性、コンプライアンスの必要性と、リスク管理とのバランスを取ることも欠かせません。遠く離れた国にいる顔の見えないサイバー犯罪者から企業を保護する場合には、こうしたことは考慮しないと、Microsoft 365 のセキュリティおよびコンプライアンスチームで主席プログラムマネージャーを務めるタルハ ミル (Talhah Mir) は言います。
「従業員は仕事に必要な情報にしっかりアクセスできなくてはなりませんし、そこで無駄な摩擦を感じさせてはいけません」とミルは語ります。「このソリューションは、すでにバックグラウンドに存在するさまざまなアラートを取得し、機械学習で情報の海の中にあるスレッドを見つけて疑わしい可能性のある行動を特定するというものなのです」
Insider Risk Management システムの異常な挙動に関する初期レポートは、すべて最初に匿名化することが可能です。これにより、風評被害や処理に不要なバイアスがかかってしまうのを防ぎます。ただし、データから得られるアラートはここまでなので、同ツールでは調査担当者や人事専門家、ビジネスマネージャーがコラボレーションできるプラットフォームを提供し、そこで異常な挙動が悪意のあるものなのか、それとも単に通常のワークフローから外れただけなのかを判断します。
Insider Risk Management ソリューションを開発したマイクロソフトのエンジニアは、調査に関わる人たちが次の段階に進む際、マイクロソフト社内でどのような基準を満たさなくてはならないのか線引きするにあたり、社内の法務部門や人事部門とも相談しました。
「システム自体は、判断を下したり悪意を仮定したりしません」とミルは話します。「異常が見つかれば、まずはエンドユーザーが単に作業を進めようとしているだけだろうと考えるところから始め、信頼しつつ検証を進めるのです」
新ソリューションは機械学習アルゴリズムを活用し、異常な挙動や潜在的リスクが潜む行動パターンを探します。その挙動には、SharePoint サイトから何百もの機密ファイルをダウンロードしたり、ファイルを USB デバイスにコピーしたり、セキュリティソフトを無効化したり、機密ファイルを社外にメールしたりといったものが含まれます。同ソリューションは Microsoft Graph および他のサービスも活用し、Windows や Azure、さらには SharePoint、OneDrive、Teams、Outlook といった Office 製品から異常なアラートを探し出します。
こうした行動は、従業員が日々作業の一環として行うため、本来驚異とはみなされません。ただし、システムが他のソースから情報を引き出すと、パターンがより意味のあるものになってきます。例えば、機密文書や機密データにフラグを立てる Office 365 の分類・ラベル付与ツールの情報を活用することなどが考えられます。
これにより、アルゴリズムの判断能力が徐々に高まり、これから営業に出かけようとしている従業員が全く問題のないプレゼンテーションや資料をダウンロードしているのか、それとも機密性の高い開発中の製品設計をダウンロードしているのか、両者のリスクが区別できるようになります。
また同システムは、ダウンロードされたファイルに個人情報盗難リスクの高いお客様の銀行やクレジットカードの情報が含まれていないかも特定できます。さらには、適切な権限を与えられたアナリストがダウンロードされたファイルの内容を確認し、その情報が外部に漏えいした場合の被害の範囲を査定することも可能です。
また、Insider Risk Management ソリューションは、人事ソフトウェアなどのサードパーティー製品と連携し、例えば従業員が最近退職したかどうかといった関連情報を取り入れることもできます。
アルゴリズムはこうしたすべての情報を考慮し、異常な挙動をそれぞれ「リスクスコア」として数値化します。これにより、内部リスク管理の担当者は注意が必要な部分を容易に確認できます。
Azure Secure Score や Azure Security Center といったソリューションでも同様に、深刻なセキュリティの脆弱性を監視し、特定して優先付けすることで、クラウドに保存したデータを保護できるようになっています。ここでいうセキュリティの脆弱性とは、お客様がファイアウォールの設定方法を誤り、ハッカーがアクセスできる状態になってしまうことや、企業とクラウドプロバイダーの両社がすべての脅威からクラウド上のデータを保護する必要があるという共通責任を誤って認識してしまうといったことも含まれます。
マイクロソフトのデジタルリスクセキュリティチームでは、世界 15 万人もの従業員が作成するデータを潜在的な内部リスクから守るため、内部リスクの機械学習アルゴリズムをまず自社ソリューションの一環として開発しました。アルセノーによると、異常検出機能は既存ツールの監査ログを活用しており、この一連のテクノロジによってマイクロソフトは従業員に対し、比較的スムーズにより良いセキュリティ環境を提供できたとしています。
「システム自体は、判断を下したり悪意を仮定したりしません。異常が見つかれば、まずはエンドユーザーが単に作業を進めようとしているだけだろうと考えるところから始め、信頼しつつ検証を進めるのです」
マイクロソフト社内でソリューションを活用するには、これまでのマイクロソフトの成功の糧となった生産性、イノベーション、信頼の文化を損なうことなく異常な行動を検知する必要があったとアルセノーは語ります。
「人は基本的にはあるべきところに向かいますが、それは自分がその一員となっていると感じていることが重要です。私は何か変化を起こしたいというわけではありませんでした。」とアルセノーは言います。
Microsoft 365 のプロダクトエンジニアは、社内セキュリティチームと協力し、ソリューションを拡張して他のお客様のニーズにも確実に対応できるよう取り組みました。
Microsoft 365 およびセキュリティ担当シニアディレクターのアリム ラヤニ (Alym Rayani) は、「お客様からはこのようなソリューションを強く求められています。この手の問題にうまく対処できる最適なソリューションが現時点で存在しないためです」と話します。「マイクロソフトや他のベンダーが、金銭や顧客情報を狙う外部攻撃者の脅威から身を守るために提供するソリューションは、確実にその問題に対応できています。一方、多様な要素が考えられる内部リスクに対しては、技術的観点からこれまであまりうまく対応できていませんでした」
だからこそマイクロソフトチームでは、潜在的なセキュリティ侵害やデータ流出を検知するだけでなく、調査して防止できるエンドツーエンドのソリューションを提供したいと考えたのです。内部リスクのアナリストが手順に従い、匿名の段階を越えた調査を進める場合は、ツールを使って対象となる従業員のマネージャーなどに協力を仰ぎ、追加情報を求めることが可能です。
マネージャーは、その従業員の異常な挙動が業務命令や一般的な仕事の範囲内で行われたものかどうか解明できるため、そう判断された場合は迅速かつ効率的に対処が終了となります。
また、Insider Risk Management ソリューションは、教育によって不注意によるセキュリティ侵害が防げるよう設計されています。従業員が、安全でなかったりセキュリティ管理外のショートカットからアクセスできたりする SharePoint サイトに機密文書を保存している場合、それを発見した人がその従業員に企業ポリシーに関する情報を送信したり、ベストプラクティスのオンライントレーニングを勧めたりすることで、潜在的な問題を食い止めることが可能です。
他の内部セキュリティ監視ツールでは、特別なソフトウェアをインストールしてノート PC からテレメトリデータを収集したり、データを別のサーバーにつなげて分析したりする必要があるとミルは指摘します。一方マイクロソフトの Insider Risk Management ソリューションでは、世界中で数百万人にもおよぶ従業員がすでに利用している生産性ツールのアラートを活用できるのです。
「このソリューションはすぐにでも使えます」とミルは話します。「Microsoft 365 が提供する生産性やセキュリティ、コンプライアンスに関するすべての機能をすでにお持ちの場合、要件に合わせてソリューションを構成すれば今すぐ利用可能です」
トップ画像: マイクロソフト 内部脅威担当シニアプログラムマネージャーのエリン ミヤケ (Erin Miyake) (左) と、Microsoft 365 セキュリティおよびコンプライアンスチーム 主席プログラムマネージャーのタルハ ミル (Talhah Mir) (右) は、社内のセキュリティ、人事、コンプライアンスの専門家と協力し、Insider Risk Management を開発しました
撮影: Red Box Pictures スコット エクランド (Scott Eklund)
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。