「情報漏えいの原因の多くは内部不正だ。ログを分析すれば内部不正の予兆を検知できる」――。エルテスは2月9日、ログの相関分析によって情報漏えいや贈収賄などの内部不正を検知する月額制サービス「インターナルリスク・インテリジェンス」を開始した。企業が継続的にログデータを提供して、エルテスのアナリストがログデータを分析し、検知した不正行為の予兆を報告する。
ウェブアクセス、メール送受信、ファイル操作、出退勤情報などのような、従業員の行動が分かる各種のログデータを組み合わせて総合的に分析することで情報漏えいなどの内部不正の予兆を検知するサービス。ログを収集して継続的にクラウドに転送するだけで、アナリストによる週次レポートと月次レポートを得られる。緊急時は電話やメールで報告を受けられる(図)。
図:インターナルリスク・インテリジェンスの概要とシステム構成
エルテス 代表取締役社長 菅原貴弘氏
これまでは、内部不正を起こさせないための事前対策として従業員教育やシステム操作の制限があり、内部不正が起こってしまってからの事後対策として原因を把握して対症療法的に事前対策へとフィードバックしていた。これに対して代表取締役社長の菅原貴弘氏は、「これからは事前検知、すなわち人の動きを捉えて予兆を検知する時代」とアピールする。
何をもって内部不正の予兆と判断するかは、エルテスの知識とユーザー企業へのヒアリングで決める。不正の予兆とみなす行動パターンを定義し、行動の重要度をスコア化する。メール添付ファイルのサイズがしきい値を超えるといったアクションベースのイベントに加え、過去3カ月の平均と比べて印刷量が著しく増えているといった統計ベースのイベントも検知する。
従業員が取る意図した行動にはパターンがあるので、行動のログを組み合わせればリスクを評価できるというのが、今回のサービスの骨子。内部不正の実行に至るプロセスは、(1)動機、(2)機会、(3)準備、(4)実行という4段階。個々の動きの内容、一定期間内に発生した動きの組み合わせによってリスクを評価する。従来のアプローチでは、個々の行動について個別に禁止、容認、アラートなどの措置を執るしかなく、一連の行動を総合的に評価する仕組みがなかったという。
例えば、転職サイトの閲覧、休暇の増加、顧客データのコピー、外部のストレージサービスへのアクセスという4つの行動が重なると、その従業員が転職することが分かる。欠勤者のPCから社内のファイルにアクセスしていたら、危険性が高いことが分かる。
サービスの価格は、分析対象となるデータ量で決まる。目安として従業員数が300~500人程度の中小企業では1日あたり5Gバイトほどのログデータが生まれる。これを分析する場合の価格は、月額100万円程度になる。