John Naisbittは1982年に出版した『Megatrends』の中で、「我々は情報の海に溺れているが、知識には飢えている」と書いています。これは私の好きな言葉の一つで、現代生活のさまざまな側面を的確に捉えていると思います。
特に、多くの企業の不正行為対策プログラムやリスク管理プログラムの現状が簡潔にまとめられています。これらのプログラムの多くでは、残念ながら、高レベルの偽陽性やその他の「ノイズ」に悩まされ、その効果が低下しています。
不正行為およびリスク管理において、なぜノイズが問題になるのかを理解するためには、まず、ノイズが企業にもたらす結果を理解する必要があります。すべてを網羅しているわけではありませんが、いくつか重要なものをご紹介します。
- サイクルの無駄遣い:不正行為対策チームが一元化されたワーク キューを中心としてワークフローを構築する場合、キュー内のすべてのイベントに優先順位を付け、審査する必要があります。ノイズは、審査の必要はあるものの、不正行為対策プログラムやリスク管理プログラムに付加価値をもたらさない項目でこのキューを満たしてしまいます。つまり、ノイズによってチームの貴重なサイクルが無駄になります。
- 真陽性の見過ごし:「干し草の山から針を見つける」というフレーズは、一般企業が目にする大量のデータやイベントの中から不正行為を探し出すことをうまく例えた言葉です。この例えの場合、針は真陽性(不正行為インシデント)を、干し草の山は不正行為ではない偽陽性を表します。偽陽性が多ければ多いほど、真陽性を見つけることは難しくなります。
- インフラストラクチャ コストの増大:ノイズにはインフラストラクチャ コストも伴います。ログ、アラート、イベントはそれぞれ、不正行為対策プログラムやリスク管理プログラムに付加価値をもたらすかどうかにかかわらず、保持しなければなりません。したがって、大量に収集している情報に付加価値がほとんどなければ、単にインフラストラクチャを過剰に使用しているだけに過ぎません。インフラストラクチャの過剰使用にはコストがかかり、大きな付加価値が見込める領域の予算が奪われてしまいます。
- 指標の歪み:擬陽性には、指標を歪めてしまうという習性があります。ある種の指標、特に真の不正行為インシデントに費やした時間の割合、真陽性と偽陽性の比率、イベント数、処理したイベントの数、イベント1件あたりのアナリストの作業時間に照準を合わせた指標は、ノイズの量に大きく影響されます。擬陽性の割合が低ければ低いほど、これらの指標の精度と有効性は上がります。
擬陽性およびノイズが不正行為対策プログラムに悪影響を及ぼす理由をいくつか知っておくことは、問題に対処するためのプラン作りに役立ちます。私がこれまでのキャリアの中で役に立ったと思う提案をいくつかここでご紹介します。
- 第一にリスクの把握:当然のことながら、すべての成功への道は、リスクをしっかりと理解してそれに取り組むことから開けます。企業が直面するリスクと脅威を評価し、それによって企業が受ける影響を理解し、それぞれに伴う潜在的なコストや損失について明らかにしてください。
- 目標と優先順位の設定:いつ、何に取り組むのかを選択することは、不正行為/リスク対策チームが下さなければならない最も重要な戦略的判断の一つです。直前のステップでリストアップしたリスクと脅威の優先順位を決め、近い将来と長期的に対処する目標と優先順位を設定してください。
- 影響の評価:重要な資産、主要なリソース、重要なデータ ストアなどを特定することで、チームはインシデントの潜在的な影響を把握できます。最も機密性の高い重要な資産、リソース、およびデータがどこにあるかを知ることで、チームはテレメトリのギャップが存在する場所に照準を合わせることができます。
- データおよびギャップの特定:これまで実施してきたテレメトリ収集を把握し、各データ ソースが不正行為対策プログラムやリスク対策プログラムに貢献しているかどうかを評価してください。貢献していない場合、そのテレメトリ収集は、インフラストラクチャ コストを増やすだけで価値をもたらしていません。潜在的な不正行為を見過ごす原因となるテレメトリのギャップを特定し、そのギャップに対処するプランを立ててください。
- テクノロジとギャップの考察:既存のテクノロジを詳しく観察し、擬陽性の数が少なく信頼性の高い不正検出、有用なテレメトリ データの収集、プロセスとワークフローの効率化など、テクノロジがどの部分で役立っているかを検証します。テクノロジが不正対策チームに役立つどころか足枷となっている部分や、テレメトリのギャップがどこに存在し、検出漏れが起きているのか監視してください。
- ノイズの多いルールやシグネチャの排除:大量のノイズを発生させるルール、シグネチャ、その他の検出技術は、不正行為対策プログラムに何の価値ももたらしません。それどころか、チームは擬陽性で身動きがとれず、不正行為インシデントのタイムリーで正確な検出に不利に作用します。過激に聞こえるかもしれませんが、このようなノイズの多い検出メカニズムを捨てることは、デメリットよりもはるかに多くのメリットがあります。
- 厳密な検出の導入:「少なければ少ないほどよい」の哲学を真に実践するには、データを正確に吟味し、忠実度と信頼性の高いアラートおよびイベントを生成する必要性を理解することが必要です。より洗練された検出方法の導入では、初期投資にかなりの時間を要しますが、その見返りは多大なものです。アラートとイベントが優れていればいるほど、ワーク キューの信号は増え、ノイズは少なくなります。
- プロセスへのフォーカス:プロセスが破綻していたり実在していなければ、どれほど優れたワーク キューであっても役には立ちません。不正行為対策チームとして良い仕事をしたいなら、チームの働き方の指針となり、規範となる効率的かつ効果的な成熟したプロセスを確立しなければなりません。
- 継続的な改善:完璧な不正行為対策チームなどありません。優秀な不正行為対策チームは、自身の弱点と改善の余地を痛感しています。上記の各要点から学んだ教訓を生かし、不正行為対策プログラムを継続的に改善することは、不正行為対策チームの長期的な成功に欠かせません。
データ、イベント、アラートが多ければ多いほど不正の検出率が上がるという従来の常識は、時代遅れで誤った情報です。リスクに戦略的に照準を合わせ、ノイズを低減するための系統的アプローチを通じて、企業は不正行為の検出状況と不正行為対策プログラムの成熟度の両方を向上させることができます。信号対ノイズ比を改善し、「少なければ少ないほどよい」の哲学を不正検出で実践することで、不正行為の検出率が向上すると同時に、擬陽性によるリソースの浪費を大幅に削減することができます。
さらに興味のある方は、Infosecurity Europe(6月21~22日)に参加して、ぜひJoshと語り合ってください(スタンドP20)。