2021年12月23日木曜日

内部不正の早期発見・拡大防止に!Ekran(エクラン)のアラート機能

 こんにちは。Ekran営業支援のコルンジックです。

今回はEkranのアラート機能についてご紹介いたします。














コンピューターの操作画面を記録することは、社内の不正対策に有効な手段です。

しかし、ただ延々と記録を取り続けるだけでは、十分な対策とはいえません。

不正な操作が行われても管理者に気づかれず、事業に大きな損害が出てから発覚したのでは手遅れです。

不正操作が行われたときに管理者がすぐに知ることができ、操作内容をすぐ確認できれば、被害を生むリスクは最小限に抑えられます。


先日、金融系企業の社員による不正送金事件が報じられました。

容疑者は自宅でのテレワーク中に、海外にある子会社名義の口座から、アメリカの銀行口座に資金を移した、とのことです。

どのような対策を行っていれば、事件を早期発見し、被害を防ぐことができたのか。

Ekranのアラート機能を使った対策方法をご案内します。


シンプルだからこそ柔軟に対応できる、Ekranのアラート設定


Ekranのアラート設定は、とてもシンプルな構成です。

・「何を」「どんなキーワードで」検知させるか

・「誰に」「どんな方法で」知らせるか

・「どのコンピューターで」検知させるか

設定するのはたったこれだけ。


シンプルだからこそ柔軟にルールを組み合わせて、ユーザーのリスク行動をキャッチできます。

先述の不正事件を例に、設定の流れをご説明いたします。


1. ルール設定 ~「何を」「どんなキーワードで」検知させるか~


インターネットによる送金手続きを行うには、オンライン口座へのサインインが必須となります。

サインインページでは、URLに「signin」や「login」といった文言が入ることが多いため、

類似ワードを含めた以下のキーワードをルールに設定します。

キーワードを”;”でつなぐことで、複数の文言を指定することができます。


検知カテゴリ:URL

キーワード:login;log-in;logon;log-on;signin;sign-in;signon;sign-on;signup;sign-up;auth

比較演算子:を含む






しかし、この設定だけでは業務で必要なサービスへのログインも検知されてしまいます。

そこで、業務で利用するサイトのURLに対して、除外設定を追加します。

今回はZoomを除外します。


検知カテゴリ:URL

キーワード:zoom.us

比較演算子:含まない







追加したルールはand条件となるため、「login等を含み」、かつ「zoom.usを含まない」URLがアラート検知対象となります。

※設定内容により、or条件となる場合もございます。










2. アクション設定 ~「誰に」「どんな方法で」知らせるか~


次に、アクション設定を行います。

今回は、管理者へのメール通知と、ユーザーへの警告通知を有効にします。













3. 対象クライアント選択 ~「どのコンピューターで」検知させるか~


あとは検知を有効にするクライアントコンピュータを選択すれば、設定完了です。
















では、実際の動作を見てみましょう。


管理者にもユーザーにも不正操作をすぐに知らせる、リアルタイム検知


クライアントコンピューターで銀行のログインページにアクセスすると、以下のような警告メッセージが表示されました。





















管理者のメールアドレスには、Ekranから通知メールが届きました。










メールの内容からアクセスしたサイトのURLが確認でき、”View Session”のリンクから検知時の操作画面を再生することもできます。















こうしたアラート機能の動作により、管理者がリアルタイムで不正操作に気づくことができます。

ユーザーに対しても、その場ですぐに抑止を働かせることができます。

ちなみに、ユーザーがzoomのサインインページにアクセスした際には、除外設定によりアラートが検知されていません。

※Ekranでアラート検知された操作は、テキストログが黄色くマーカー表示されます。














テンプレートも豊富!新しいルール設定を作るときの参考にも


今回の例ではURLを検知対象にしましたが、ほかにも下記のようなカテゴリを指定することができます。

・アプリケーション名(.exe)

・ウィンドウタイトル

・キーストローク(Windowsのみ)

・クリップボード(Windowsのみ)

・コマンド/パラメーター(Linuxのみ)


また、こうした設定を手動で行わなくても、Ekranには80種類ものテンプレートがあらかじめ用意されています。

「SNS利用」「クラウドソーシング」など、情報漏えいリスクに配慮したテンプレートや、管理者権限が必要となるOSの設定に関するテンプレートもございます。

アラート設定を簡易的に行いたい場合や、ご自身でアラートルールを作成するときの参考にご活用いただけます。


シンプルだからこそ無限の組み合わせがある、Ekranのアラート機能。

パズルのように楽しみながら、使いこなしてみてはいかがでしょうか。


==ご注意==

・URLに「login」等の文言を含まないサービスもございます。その場合は、URLやウィンドウタイトルで”Banking”等をキーワードに指定したアラート設定を、別途作成してください。

・アラートの作成・動作確認およびその後の運用は、お客様の作業範囲となります。Ekran のアラート機能によってご利用目的を達せられるかどうかは、事前のトライアル段階で十分にご検証ください。

======


ご紹介した機能に関するご質問は、下記のリンクよりお気軽にお問い合わせください。

次回の更新も、どうぞお楽しみに!


(執筆:Ekran営業支援 コルンジック)