従来、特権IDの利用や操作の管理は、内部統制が主な目的でした。しかし、近年では、内外からの攻撃の増加に伴い、セキュリティ対策の一環として、特権アクセスそのものを管理する必要性が高まっています。すでに特権ID管理製品を導入し、サーバへのアクセス制御や操作ログの取得を行っている方も多いのではないでしょうか。
ただし、操作ログを取っていても、それだけでは十分とは言えません。被害の拡大を未然に防ぐには、違反する操作があったかを都度監査することが重要なのです。そうすることで、万が一攻撃を受けた場合でも、早期に発見・対処できます。
一方、大量の操作ログを一つ一つ確認するには、かなりの人的コストがかかります。十分な監査が必要だとわかっていても、現実的ではないとお悩みの方も多いと思います。
中でも、動画形式の操作ログは、テキスト形式のものとは違い、該当箇所を検索できず、初めから終わりまで目視確認する必要があります。監査業務において、大きな課題の一つだと言えるでしょう。実際に弊社でも、「動画の操作ログを監査するのに時間とコストがかかり、困っている」という声を多くのお客様からいただいています。
では、動画形式の操作ログを漏れなく効率的に監査するには、どうしたら良いのでしょうか。
本ブログでは、AI(機械学習)を活用してこの課題を解決する方法について、事例を交えながら解説します。
操作ログの取得と監査
J-SOX(IT全般統制)やPCI DSSの準拠に向け、システム操作のトレーサビリティを確保するため、操作ログを取得する製品が数多くあります。さらに、不正な操作を早期に発見するには、操作ログを取るだけでなく監査することが重要です。実際、操作ログの確認が遅れたことで、被害が拡大した後、ようやく内部不正に気づいた例もあります。
操作ログの取得はシステムで自動的に行えるため、あまり人的コストはかかりません。一方、操作ログの監査は、自動でできるもの・できないものがあります。そのため、ログの種類によっては、膨大な人的コストがかかる場合があります。
操作ログの種類と監査方法
操作ログは、ユーザが操作した内容を記録したものです。①Linux等のコマンド操作をテキスト形式で記録したログ、②Windows等の画面操作を動画形式で記録したログの二つに大別できます。
テキスト形式の操作ログ(①)は、キーワード検索で簡単に検出できます。例えば、管理者権限でコマンドを実行する際によく利用される「sudo」が実施されたのかは、「sudo」でキーワード検索すればすぐに判別できます。
一方、動画形式の操作ログ(②)は、キーワードによる検索ができません。特定の操作が実施されたのかを調べるには、人が動画の初めから終わりまで直接見て確認する必要があります。
【図1】テキスト形式と動画形式の違い
動画の時間が長いほど、確認に必要な時間も増えます。主に動画のログを取得している場合、量も多くなるため、すべてを目視確認するのはリソース的に困難です。確認したとしても、見落としや判断ミスといったヒューマンエラーが発生する可能性は大いにあります。そのため、すべては確認せず、ランダムサンプリングで監査しているお客様もいます。
ただし、その場合、不正を確実に検知できないという問題があります。さらに、厳しい監査機関ではランダムサンプリングが認められておらず、根拠(特定アプリケーションの操作等)の提示が求められる場合もあります。一体どうすれば良いのでしょうか。
次章からは、AIを利用することで解決する方法を詳しくご紹介します。
AIで動画の操作ログを簡単に監査する方法
近年、AIの普及が急速に進み、様々な分野で活用されるようになりました。AIの強みは、これまで機械が苦手としていた、人間のように物事を抽象的に捉えて判断することができる点です。
例えば、従来の機械では、赤いリンゴの色と形を記憶しても、青リンゴのように色が変わったり、かじられて形が変わったりすると、リンゴと判定できませんでした。一方、AIは、色や形が多少変わってもリンゴと判定できるのです。特に画像認識の分野では、人間と遜色ないレベルで判定できるという研究結果があります。
このAIの特長を活かすことで、動画の操作ログの監査も自動化できるようになります。動画は複数の画像から構成されているため、各動画に対して特定の操作(画像)が含まれているか、AIに記憶・判定させればよいのです。
具体的な手順は次のとおりです。初めに、検知したい操作の画像をAIに事前学習させます。例えば、特定のアプリケーションを使用したのかを判定したい場合、アプリケーションのアイコン画像をAIに学習させます。そうすることで、AIが操作ログの中から同じアイコン画像が表示されている場面を自動的に探してくれます。結果、そのアプリケーションが実行されている場面が自動で検出できるのです。
【図2】画面画像をAIが検知するイメージ図
画像に限らず、特定の文字列が入力されたかを検知したいときにも利用できます。その場合は、検知したい文字列を含む画像をAIに事前学習させます。
このように学習データを工夫することで、様々な操作をAIに検知させることが可能です。AIを活用することで、人が動画のログを目視確認する必要がなくなり、すべての操作ログを少ない工数で効率的に監査できるようになるのです。さらにAIなら、人間のように、体調や疲労でミスが増えたりパフォーマンスが下がったりする心配もありません。
では、実際にAIを利用することで具体的にどのくらい工数を削減できるのか、事例で見てみましょう。
AI活用で監査工数を大幅に削減した事例
弊社のお客様であるA社では、顧客の個人情報を含むサーバを運用しており、各サーバのアクセスに違反操作がなかったか、日々監査しています。1日あたりに取得される動画形式の操作ログは約100件。内40件は、顧客情報を含む重要サーバへのアクセスが含まれるため、すべて目視確認していました。
ログの時間はそれぞれ異なりますが、平均20分程の操作が行われています。従って、目視確認をする場合、20分間の40件分(800分)、すなわち1日につき13時間程が必要です。そのため、A社では、動画の操作ログを確認するために、2名の要員を確保していました。
では、この監査業務をAIに解析させると、どうなるでしょう。
AIを使うと、特定のアプリケーションを操作したものだけが抽出できるため、すべての動画ログを確認する必要はありません。さらに、1本の動画の内、どの時間帯にそのアプリケーションを操作したのか検知できるため、検知個所だけをピンポイントで確認できるようになります。
【図3】検知時間の表示
A社では、深夜にAIを実行することで、人は始業後に実行結果を数分確認すれば良くなりました。以前は13時間必要だった確認作業が、AI導入後は数分で行えるようになり、余った人的リソースを他の業務に回せるようになったのです。
【図4】監査工数の比較
このように、AIを活用すると、監査業務の人的コストを大幅に削減できます。さらに、この方法なら、これまで動画の操作ログを監査できていなかった企業、サンプリングで対応していた企業も、すべてのログを容易に監査できるようになります。
では、実際のAIを利用した監査業務はどのようなものでしょう。次章からは、弊社が提供するAI製品を例にご紹介します。
「AI動画ログ監査支援ツール」のご紹介
NRIセキュアでは、長年、特権ID管理ツール「SecureCube Access Check」(セキュアキューブ・アクセスチェック、以下「Access Check」)を提供しています。本製品には、サーバへのアクセスや操作を記録する機能があり、RDP中継でアクセスした場合は動画形式の操作ログとして記録します。
弊社では、この動画のログについて、多くのお客様より「もっと効率的に監査したい」という要望を受けていました。そこで、このたび、「AI動画ログ監査支援ツール (AI Video log audit support tool)」を提供開始しました。
本来、AIの利用には機械学習に関する専門的な知識が必要です。
例えば、どのようなAIアルゴリズムを利用するのか、学習モデルをどうするのか、どのような学習データが必要なのか等、検討すべき点がたくさんあります。また、検知精度を向上させるには、設定値のチューニングも欠かせません。
一方、「AI動画ログ監査支援ツール」は、AIに関する知識がなくても、最低限の設定と操作だけで利用できます。具体的には、AIが動画の操作ログに事前学習した操作(画像)が含まれているかを検出し、2種類のレポート(日次レポート、動画レポート)を出力します。
本章では、各レポートの詳細と検知精度について見ていきましょう。
【図5】「AI動画ログ監査支援ツール」の利用イメージ
①日次レポート
日次レポートでは、すべての動画ログについて、AIの実行結果を一覧表示し、検知があった動画と検知した内容を一目で確認できます(図6参照)。検知内容の詳細は、動画ファイル名のリンクをクリックすると確認できます。遷移先は、次に説明する動画レポートです。
【図6】「AI動画ログ監査支援ツール」の日次レポート
②動画レポート
動画レポートでは、動画ごとに、検知内容の詳細を簡単に確認できます(図7参照)。左側の表では、検知ラベル(何を検知したか)、検知結果のスクリーンショット、検知した時間を表示しています。右側では、動画の操作ログを再生できるため、前後の操作等を確認できます。
【図7】「AI動画ログ監査支援ツール」の動画レポート
なお、本ツールは、弊社の特権ID管理製品であるAccess Checkと連携しています。Access Checkから、日次で動画の操作ログを取得・実行でき、動画を移動する手間がないため、毎日レポートを確認するだけで監査業務が行えるようになります。
このように、AIを監査業務に活用すると、検知結果をピンポイントで確認するだけで済むため、動画の初めから終わりまで目視確認するのに比べて、大幅に工数が削減できます。さらに、確認漏れなど、人的ミスの軽減も期待できます。
③検知精度について
AIと聞くと、精度に不安を感じる方もいると思います。実際AIは、抽象的な検知ができる一方で、100%の精度で検知することは難しい面があります。
ただし、動画ログの監査業務では、検知対象がPCの画面という曖昧さが少ないものです。本ツールでは、AIのチューニング等を工夫することで、高い精度の検知を実現しています。
具体的には、誤検知(AIの検知内容が実際とは異なるケース)は全時間の3%以下、検知漏れ(検知すべき内容をAIが検知できていないケース)も0.1%以下となることを実証できました。このように、高精度な検知を実現することで、安心してAIを監査業務に活用できます。
おわりに
サイバー攻撃・内部不正対策として、各企業が自ら、特権ID管理製品を利用して操作ログを取得することは一般的になってきました。一方、動画の操作ログについては、監査に必要な人的リソースの確保や目視確認によるミスが課題となり、十分な監査ができていないという問題が発生しています。
本ブログでは、この課題を解決する具体的な方法として、AIを利用して漏れなく効率的に監査することに成功した事例を交えながら解説しました。
NRIセキュアでは、今後も、高セキュリティと業務の効率化を両立するソリューションの提供に尽力していきます。
