詐欺： 少ないほど良い

ジョン・ネイスビットは1982年の著書『メガトレンド』の中でこう書いている。 「私たちは情報に溺れているが、知識に飢えている。」 これは私のお気に入りの引用文の一つです。現代生活の多くの状況を非常に正確に捉えていると思うからです。 

特に、多くの企業の不正行為およびリスク管理プログラムの状態を簡潔に説明します。 残念ながら、これらのプログラムの多くは、誤検知やその他の「ノイズ」が多く、その効果を低下させています。

ノイズが詐欺やリスク管理においてなぜそれほど問題になるのかを理解するには、まずそれが企業にどのような影響を与えるかを理解する必要があります。 網羅的なリストではありませんが、重要なものをいくつか挙げます。

• 無駄なサイクル: 不正対策チームが集中化された作業キューを中心にワークフローを構築する場合、キュー内のすべてのイベントに優先順位を付けてレビューする必要があります。 ノイズにより、このキューには、確認する必要があるものの、詐欺およびリスク プログラムに価値を追加しない項目が詰め込まれます。 言い換えれば、ノイズはチームの貴重で価値のあるサイクルを無駄にします。

• 見逃された真陽性: 「干し草の山から針を探す」という表現は、一般的な企業が目にする大量のデータやイベントの中から不正を探すのがどのようなことかを表すのにぴったりの言葉です。 この例えでは、針は真陽性（詐欺事件）を表し、干し草の山は詐欺ではない偽陽性を表します。 誤検知が多くなるほど、真陽性を見つけるのが難しくなります。

• インフラコストの増加: 騒音にはインフラコストも伴います。 各ログ、アラート、イベントは、不正行為およびリスク プログラムに付加価値をもたらすかどうかに関係なく、保持する必要があります。 したがって、チームがほとんど価値を追加しない大量の情報を収集している場合、単に余分なインフラストラクチャを使用しているだけです。 これにはコストが伴い、大幅に価値を高めることができる領域から予算が奪われることになります。

• 歪んだ指標: 誤検知は指標を歪める傾向があります。 特定のメトリック、特に、実際の不正インシデントに費やされた時間の割合、真陽性と偽陽性の比率、イベントの量、処理されたイベントの数、イベントあたりのアナリストの時間などに焦点を当てたメトリックは、ノイズの量によって大きく影響されます。 誤検出率が低くなればなるほど、これらの指標はより正確かつ好ましいものになります。

誤検知やノイズが不正検出プログラムに悪影響を及ぼす理由をいくつか把握しておくと、問題に対処する計画を立てるのに役立ちます。 私のキャリアを通じて役に立ったいくつかの提案を以下に示します。

• リスクから始める: 当然のことながら、すべての成功への道は、リスクに対する確固たる理解とコミットメントから始まります。  企業に対するリスクと脅威を評価し、それらが企業内でどのような影響を与えるかを理解し、それぞれに関連する潜在的なコスト/損失を把握します。

• 目標と優先順位を設定する: 何をいつ対処するかを選択することは、不正行為およびリスクチームが行うことができる最も重要な戦略的決定の 1 つです。 前のステップで列挙したリスクと脅威に優先順位を付け、短期的および長期的に対処する目標と優先順位を設定します。

• 影響を評価する: 重要な資産、主要リソース、重要なデータ ストアなどを特定することで、チームはインシデントの潜在的な影響を理解するのに役立ちます。 最も機密性が高く重要な資産、リソース、およびデータがどこにあるかを把握することで、チームはテレメトリのギャップが存在する場所に重点を置くことができます。

• データとギャップを特定する: 既存のテレメトリ収集を理解し、各データ ソースが不正およびリスク プログラムに貢献しているかどうかを評価します。 そうでない場合、収集してもインフラストラクチャのコストが追加されるだけで、価値は追加されません。 チームが潜在的な不正行為に気付かなくなるテレメトリのギャップを特定し、そのギャップに対処する計画を策定します。

• テクノロジーとギャップを考慮する: 導入されている既存のテクノロジーを詳しく調べ、誤検知率の低い詐欺を確実に検出したり、貴重なテレメトリ データを収集したり、プロセスとワークフローをより効率的にしたりするなど、どこで役立つかを調べます。 テクノロジーが不正行為チームを支援するのではなく、むしろ妨害している部分、またテレメトリと検出にギャップが存在する部分にも注意を払ってください。

• 煩わしいルールや署名を捨てましょう: 大量のノイズを生成するルール、署名、その他の検出手法は、不正行為防止プログラムに価値を追加しません。 代わりに、彼らはチームを誤検知で埋もれさせ、不正行為のタイムリーかつ正確な検出を積極的に妨害します。 極端に聞こえるかもしれませんが、これらのノイズの多い検出メカニズムを廃止することで得られるメリットは、デメリットよりもはるかに多くなります。

• 厳密な検出を実装する: 「少ないほど豊か」という哲学を真に受け入れるには、データを鋭く調査し、忠実度と信頼性が高いアラートとイベントを生成する必要性を理解することが含まれます。 より洗練された検出アプローチを実装するには、事前にかなりの時間の投資が必要ですが、大きな利益が得られます。  アラートとイベントが優れているほど、作業キューの信号が増加し、ノイズが減少します。

• プロセスに焦点を当てる: プロセスが壊れていたり、存在していなかったりすると、世界最高品質の作業キューも役に立ちません。 世界クラスの不正対策チームには、その取り組み方を導き、管理する成熟した、効率的で効果的なプロセスがあります。

• 継続的に改善する: 完璧な不正対策チームなど存在しません。優れた不正対策チームは、自らの弱点と改善の機会をしっかりと認識しています。 上記の各ポイントから学んだ教訓を活用して不正防止プログラムを継続的に改善することは、不正防止チームの長期的な成功にとって非常に重要です。

データ、イベント、アラートが多ければ多いほど不正行為の検出精度が向上するという従来の考え方は時代遅れであり、誤った情報です。 リスクに対する戦略的な焦点とノイズ削減への系統的なアプローチを通じて、企業は不正検出の状態と不正防止プログラムの成熟度の両方を向上させることができます。 信号対雑音比を改善し、不正検出に「少ないほど良い」という哲学を採用することで、企業は誤検知によるリソースの浪費を大幅に減らしながら、より多くの不正を検出できるようになります。

さらに詳しく知りたいですか? 6 月 21 日から 22 日まで Infosecurity Europe で Josh とチャットしましょう (スタンド P20) 。