6. リスクスコアリングを使う

6.1. リスクスコアリングの概要

本章ではリスクスコアリングの機能や仕組みを説明します。

6.1.1. リスクスコアリングとは

リスクスコアリングは、『普段とは異なる動き(異常)』を発見する機能です。
機械学習の技術でアクセスログからレポート設定に基づいて学習をし、異常動作を検知します。
../_images/OverallFlowChart.png
例)

  • 普段、日中にログオンしているユーザーが、突然深夜にログオンした

  • 普段、日中のアクセスが多いホストに対して、突然深夜に大量のアクセスが起こった

  • 普段、開発関連のファイルにアクセスしているユーザーが、突然人事系のファイルにアクセスした

異常動作を検知することで、不正を行っている、または攻撃を受けている可能性のあるユーザーやホストを見出します。

注意

リスクスコアが高くても、そのユーザーが必ずしも不正な行動をしていたり攻撃を受けていたりするとは限りません。
例えば、ユーザーの業務内容が変わった場合、新しいデータを十分に学習するまでそのユーザーに高いリスクスコアが算出されることがあります。

6.1.2. リスクスコアリング機能の特徴

レポート/アラートではレポート設定を管理者が手動で設定して監視するのに対し、リスクスコアリングではAIを活用して自動でユーザーやホストなどに関するインシデントを監視します。
レポートやアラートの場合は以下のような監視対象設定を手動で行います。
例)

  • ログオンの失敗を監視する

  • 土日のアクセスを監視する

  • 夜間のアクセスを監視する

  • 特定のフォルダーへのアクセスを監視する

  • しきい値を超えたアクセスを監視する

このような手法には、以下のような課題があります。

  • 定義に当てはまらないインシデントや、その予兆を見逃す

  • インシデントの見逃しを防ぐには、実環境の変化に合わせて監視等の定義を見直す必要がある

例)
機密情報が保管されているフォルダーへのアクセスを監視していたが、ある時フォルダー名が変更され、監視ができない状態になっていた。

  • 各ユーザーや各ホストなどに適した異常動作の定義を行うことが難しい

例)
多くのユーザーは通常日中にアクセスが多く夜間のアクセスを監視対象とするが、夜間にアクセスすることが通常である一部のユーザーにおいては逆に日中のアクセスを監視対象にしなければならない。
リスクスコアリングは機械学習の技術を駆使し、以下のような特徴を活かしてこれらの課題を解決します。

  • 管理者は細かな定義を設定する必要がない

  • ユーザー・ホストなど、任意設定した対象ごとに行動・動作傾向を解析することで、それぞれに適した異常動作の定義が自動で更新される

  • 学習した異常動作の定義からリスクスコアの算出を行い、レポート定義では発見が困難なインシデントやその予兆発見することが可能となる

ヒント

リスクスコアは、そのユーザーやホストなどの動きが普段とどの程度異なるかを表す相対的な指標です。

注意

検知の精度はログデータ量や傾向に依存します。

6.1.3. リスクスコアリングの仕組み

ALogに内蔵されたデータベースに保管されているアクセスログから、レポート設定に基づいてユーザーやホストなどの動作傾向を学習し、それぞれのリスクのスコア付けを行います。
リスクスコアリング機能は、「学習」と「検知」の2つの動作から成り立ちます。
../_images/MechanismDiagram.png

6.1.3.1. 学習とは

レポートで設定された学習期間のアクセスログデータから、機械学習によりスコア算出対象毎に基準となるモデルを訓練します。
これはリスク学習タスクにて行われます。
../_images/LearningMechanismDiagram.png

ヒント

スコア算出対象毎に「頻度スコア用のモデル」と「パススコア用のモデル」を訓練します。

6.1.3.2. 検知とは

リスク学習タスクにおいて訓練したモデルを用いて、スコア算出対象毎のリスクスコアを算出します。
検知はレポートタスクにて行われ、結果はリスクスコアリング画面で確認できます。
../_images/DiagramOfDetectionMechanism.png

6.1.4. スコアについて

リスクの大きさを表します。スコアが高いとリスクも高いと考えられます。

注意

学習するアクセスログが少ない場合は、リスクスコアが高く算出されることがあります。

6.1.4.1. 総合スコアとは

頻度スコアとパススコアを合算したスコアで、総合的にリスクの高いユーザーやホストなどを確認することができます。

6.1.4.2. 頻度スコアとは

1日の各時刻におけるアクセスログ件数の傾向をスコア算出対象毎に解析し、リスクスコアを算出します。
各スコア算出対象が普段どの時間帯にどのくらいアクセスしているのかが分かります。
異常な時間帯や異常な量のアクセスをしたユーザーやホストなどを発見することができます。

6.1.4.3. パススコアとは

ファイルパスなどに含まれる単語の関連性を基にスコア算出対象毎の傾向を解析し、リスクスコアを算出します。
普段アクセスしないようなファイルパスへアクセスしたユーザーなどを発見することができます。

ヒント

アクセスログの対象欄の値を用いて解析します。対象欄にファイルパス以外の値が入ったアクセスログデータが存在する場合も解析の対象となります。

6.2. リスクスコアリングの設定

6.2.1. リスクスコアリング用レポートの設定

リスクスコアリング機能を利用するには、リスクスコアリング機能を有効にしたレポート設定を作成します。

6.2.1.1. レポート設定の作成

  1. [レポート/アラート]画面で[新規作成]ボタンをクリックする

../_images/CreateNewReportSettings.png

  1. [新規作成-テンプレート選択]画面で新規作成を選択する

../_images/TemplateSelection.png

  1. [機能]で[リスクスコアリング]にチェックを入れる

../_images/Riskscoringcheck.png

ヒント

利用する機能に応じて「レポート」、「アラート」にもチェックを入れてください。

  1. レポート設定の編集ダイアログで検索条件などを設定し、[OK]ボタンをクリックする

ヒント

リスク学習の精度を向上させる為、フィルターに入れる条件は出来るだけ詳細に指定頂くことを推奨します。

  1. レポートの一覧画面に作成したレポート設定が表示されることを確認する。メニューバーに「リスクスコアリング」が表示される

../_images/AfterCreatingTheReport.png

6.2.1.2. レポート設定の編集

ここでは、リスクスコアリングを有効にした場合の項目について説明します。
レポート機能、アラート機能に関連する説明は「 レポート/アラート 」を参照してください。
../_images/EditTemplateSettings.png

項目

説明

基本設定
レポート設定としての基本的な設定や検索条件をメイン画面で設定する
設定方法の詳細は「レポート/アラート 」を参照

メール通知

メール通知の設定を行うダイアログを表示する
●基本設定
レポート設定のリスクスコアリングに関する基本設定は以下のとおりです。

項目

説明

状態

レポート設定を有効にするか、無効にするかを設定する

機能
レポート機能、アラート機能、リスクスコアリングの使用有無を指定する
リスクスコアリングを利用時にはこの項目を有効にする

レポート名

レポートの名称を指定する

概要説明

レポートの概要を記載する
リスクスコアリング
スコア種別

頻度スコア、パススコアが選択可能で複数選択できる
リスクスコアリング
スコア集計キー

学習/検知の対象(UserやHostなど)を設定する
リスクスコアリング
学習期間
リスク学習タスク時に学習するアクセスログの期間を設定する
リスク学習実行時の1日前~設定した期間まで遡った期間のアクセスログを学習する
●メール通知設定
リスクスコアリングのメール通知設定は以下のとおりです。
../_images/EmailNotificationScreen.png

項目

説明

有効/無効

メール通知の有効、無効を指定する

件名

メール通知で送信されるメールの件名を指定する

送信元アドレス

メール通知の際に使用する送信元メールアドレスを指定する

送信先アドレス

メール通知で送信されるメールの送信先メールアドレスを指定する

テスト送信

入力した設定でメール送信ができるかテストする
リスクスコアリング
通知
リスクスコアリングによる通知するスコア対象を指定する
頻度スコア、パススコアが選択可能で複数選択できる
リスクスコアリング
通知条件
リスクスコアリングによるメール通知の条件を指定する
通知するスコア値のしきい値を設定する。「0」を設定した場合、必ず通知される
リスクスコアリング
メール本文

リスクスコアリングメール本文の編集、レポート名/スコア集計 第1キー/URLの付与を指定する

ヒント

メール通知を利用する際には、あらかじめ[管理]画面から[SMTP設定]にて設定を行ってください。詳細は「SMTP設定」を参照してください。

ヒント

通知条件を頻度スコアとパススコアの両方に設定した場合、OR条件となります。
例) 頻度スコア:30以上、パススコア:30以上で設定した場合、
あるスコア算出対象が頻度スコア30以上またはパススコア30以上の場合にメール通知される。

6.2.2. リスク学習タスクを実行する

6.2.2.1. タスクの実行

異常動作を検知するための準備として、リスク学習タスクを実行してアクセスログからスコア算出対象毎の動作傾向をレポート毎に学習します。
リスクスコアを算出するには、スコア算出対象のアクセスログのインポート後にリスク学習タスクを最低限1回実行する必要があります。
すぐに学習を行いたい場合はステータス画面の定期タスクから[リスク学習]の手動実行をしてください。
../_images/StatusScreen.png

注意

学習するデータ量の多さにより、リスク学習タスクの時間は長くなります。
※数時間から数日かかる場合もあります。

ヒント

本処理はスコア算出対象毎の通常の動作傾向の定義を更新するものです。傾向が頻繁に大きく変わる等のことが無ければ、頻繁にタスクを実行する必要はありません。

ヒント

リスク学習タスクで学習時に、パススコアモデルを訓練するためにはアクセスログが100件以上必要です。そのため、アクセスログが100件に満たないスコア算出対象についてはパススコアに関する学習がスキップされます。
※頻度スコアのモデルに関しては、アクセスログが100件に満たない場合でも学習が実行されます。

6.2.2.2. リスク学習のタスクスケジュール設定

リスク学習タスクのスケジュール設定は、[管理]画面から[リスクスコアリング]を選択することで表示できます。

../_images/TaskScheduleSetting.png

ヒント

タスクスケジュールのデフォルト設定は、毎月1日に設定されています。リスクスコアリングの利用開始日がタスクスケジューラの設定値と異なる場合、必要に応じて手動でタスクを実行してください。

6.2.3. レポートタスクまたはレポート再作成を実行する

リスク学習タスクでスコア算出対象毎にモデル訓練をした後に、レポートタスクおよびレポート再作成にてリスクスコアリングを行います。

●レポートタスクを実行するケース
対象ホストからイベントログを収集して、新たに変換されたアクセスログに対してリスクスコアリングを行います。

ヒント

当日のスコアは、データが揃いきっていないので、正確でない可能性があります。

●レポート再作成を実行するケース
過去のアクセスログに対してリスクスコアリングを行う場合は、レポート再作成を実行します。
レポート再作成の期間は、対象のアクセスログの期間を指定します。

6.3. リスクスコアリングの結果

リスクスコアリングの結果を確認するには、メニューバーより「リスクスコアリング」を選択して表示します。
リスクスコアリングの結果は、「総合」または「レポート」単位で結果を確認することができます。
../_images/InitialScreenForRiskScoring.png

6.3.1. 総合結果画面

各レポートの結果を総合して、リスクの大きいスコア算出対象や、各レポートのリスクスコアを確認します。

●画面表示の説明

../_images/OverallResultScreen.png

エリア

項目

説明

左ペイン

対象レポート名

総合スコアまたはレポート毎のスコアを選択する

対象期間

リスクスコアリング結果の表示対象とする日付を選択する

日次/週次/月次

レポートの単位を切り替える

検知総数
指定した期間中に検知されたユーザーの総数を表示する
検索による絞り込みは反映されない

学習ログ件数

学習した各レポートのアクセスログの件数の合計を表示する

学習期間

学習の対象としたレポートの期間を表示する

右ペイン

年月日

カレンダーで選択されている期間を表示する

スコア分布
各スコア算出対象の分布を上位30位まで円グラフで表示する
円グラフにマウスカーソルを合わせると、総数、割合を表示する

レポート

レポート毎の総合スコアランキングを最大30位まで表示する

スコア算出対象(Userなど)

各スコア算出対象のランキングを上位30位まで表示する。スコア算出対象名を選択すると詳細結果画面を新規タブで表示する

検索
スコア算出対象名で検索する
スコア算出対象名に対し部分一致で検索する

カラースケール
リスクスコアの大きさを色で表す
リスクスコアが高くなるほどに、黒色に近くなる

●操作方法

  • 円グラフにマウスカーソルを合わせると、その範囲のスコア算出対象総数および割合が表示されます。

../_images/MouseHoverOverUserPieChart.png

  • ランキングのスコア算出対象名を選択すると、その対象の全レポート総合スコア推移詳細結果画面が別タブで表示されます。

../_images/LinkDestinationWhenUserClicksOverall.png

  • ランキングのレポートを選択すると、レポート結果画面に遷移します。

../_images/LinkToTheReportInGeneral.png

●スコアについて

項目

説明

レポート
スコアが大きいほど通常とは異なる動作傾向が確認され、リスクが高いことを表す
頻度スコアとパススコアを総合した相対的な指標を表す
指定した期間中において、レポート毎にスコア算出対象の総合スコアの最大値を表示する
総合スコアは0~200以下の値で表示する

スコア算出対象(Userなど)
スコアが大きいほど通常とは異なる動作傾向が確認され、リスクが高いことを表す
頻度スコアとパススコアを総合した相対的な指標を表す
指定した期間中において、スコア算出対象毎に全レポート中の総合スコア最大値を表示する
総合スコアは0~200以下の値で表示する

6.3.2. レポート結果画面

各レポートにおけるリスクスコアリング結果を確認します。
当該レポートにおける、それぞれのリスクスコアのランキングが表示されます。

●画面表示の説明

../_images/ReportResultScreen.png

エリア

項目

説明

左ペイン

対象レポート名

総合スコアまたはレポート毎のスコアを選択する

対象期間

リスクスコアリング結果の表示対象とする日付を選択する

日次/週次/月次

レポートの単位を切り替える

検知総数
指定した期間中に検知されたユーザーの総数を表示する
検索による絞り込みは反映されない

学習ログ件数

学習した各レポートのアクセスログの件数の合計を表示する

学習期間

学習の対象としたレポートの期間を表示する

右ペイン

年月日

カレンダーで選択されている期間を表示する

スコア分布

各スコア算出対象の分布を上位30位まで円グラフで表示する

総合スコア

総合スコアのランキングを上位30位まで表示する

頻度スコア
頻度スコアのランキングを上位30位まで表示する
レポート設定でスコア種別を無効にした場合、またはカレンダーにて選択した期間や検索窓で表示対象を絞り込んだ結果、頻度スコアの結果を持つ対象が存在しない場合はランキング枠自体が表示されない

パススコア
パススコアのランキングを上位30位まで表示する
レポート設定でスコア種別を無効にした場合、またはカレンダーにて選択した期間や検索窓で表示対象を絞り込んだ結果、パススコアの結果を持つ対象が存在しない場合はランキング枠自体が表示されない

検索
スコア算出対象名で検索する
スコア算出対象名(さらに、もしあればADの表示名の双方)に対し部分一致で検索する

カラースケール
リスクスコアの大きさを色で表す
リスクスコアが高くなるほどに、黒色に近くなる

●操作方法

  • 円グラフにマウスカーソルを合わせると、その範囲のスコア算出対象総数および割合が表示されます。

../_images/FrequencyPieChartAtMouseHover.png

  • 総合スコアのスコア算出対象を選択した場合、選択中のレポートの総合スコア推移画面が別タブで表示されます。

../_images/UserLinkForOverallScore.png

  • 頻度スコアのスコア算出対象を選択した場合、その対象の頻度詳細画面が別タブで表示されます。

../_images/UserLinksForFrequencyScores.png

  • パススコアのスコア算出対象を選択した場合、その対象のパススコア詳細画面が別タブで表示されます。

../_images/UsersLinkDestinationOfPassScore.png

●スコアについて

項目

説明

総合スコア
スコアが大きいほど、通常とは異なる動作傾向が確認され、リスクが高いことを表す
頻度スコアとパススコアを総合した相対的な指標を表す
指定した期間中において、各スコア算出対象の最大の値を表示する
総合スコアは0~200以下の値で表示する

頻度スコア
スコアが大きいほど、ログの発生頻度について通常とは異なる傾向が確認され、リスクが高いことを表す
指定した期間中において、各スコア算出対象の最大の値を表示する
頻度スコアは0~100以下の値で表示する

パススコア
スコアが大きいほど、アクセスしたファイルパスについて通常とは異なる傾向が確認され、リスクが高いことを表す
指定した期間中において、各スコア算出対象の最大の値を表示する
パススコアは0~100以下の値で表示する

6.3.3. 詳細結果画面

特定のスコア算出対象におけるリスクスコアリング結果を確認します。
指定したスコア算出対象に関するレポート毎のリスクスコアの推移や、特定のレポートの各種スコアの推移、詳細データ等を確認できます。

6.3.3.1. 全レポートの総合スコア推移

全てのレポートについて、レポート毎の総合スコアの推移を確認できます。
リスクスコアリング画面の左ペイン「総合」を選択してスコア算出対象を選択すると表示されます。

項目

説明

スコア算出対象名
結果表示している対象の名前
【ユーザーの場合】
上段はAD連携タスクによって取得したユーザー名に対応する表示名が表示される
取得していない場合はアクセスログの[User]の値が表示される
下段はアクセスログの[User]の値が表示される
【その他のスコア算出対象の場合】
上段、下段ともにアクセスログと同じ値が表示される

最新スコア

表示期間の最新スコア値が表示される

凡例
各レポートがどのレポートの折れ線を示しているかを表す
凡例を選択すると表示/非表示を切り替えることができる

期間

1週間/1ヶ月/すべてを選択することで表示期間を切り替えることができる

レポート切替

ドロップダウンで、すべて/各レポートのスコア推移グラフに表示を切り替えることができる

推移グラフ
リスクスコア推移グラフを表示する
ポイントを選択すると、そのレポートの推移グラフに表示を切り替えることができる

グラフレンジスライダー
現在表示している期間
左右のつまみを調整することで表示期間を調整することができる

6.3.3.2. 特定レポートの総合スコア推移

指定したスコア算出対象における、選択したレポート毎のリスクスコアの推移が確認できます。
リスクスコアリング画面の左ペイン「レポート」を選択して総合スコアのランキング表のスコア算出対象を選択するか、全レポートの総合スコア推移画面のレポート切替ドロップダウンリストから任意のレポートを選択すると表示されます。

No.

項目

説明

1

スコア算出対象名
結果表示している対象の名前
【ユーザーの場合】
上段はAD連携タスクによって取得したユーザー名に対応する表示名が表示される
取得していない場合はアクセスログの[User]の値が表示される
下段はアクセスログの[User]の値が表示される
【その他のスコア算出対象の場合】
上段、下段ともにアクセスログと同じ値が表示される

2

最新スコア

表示期間の最新スコア値が表示される

3

凡例
特定レポートの頻度スコア/パススコアの折れ線を表す
選択したスコアの推移グラフの表示/非表示を切り替えることができる

4

期間

1週間/1ヶ月/すべてを選択することで表示期間を切り替えることができる

5

レポート切替

ドロップダウンで、すべて/各レポートのスコア推移グラフに表示を切り替えることができる

6

推移グラフ
リスクスコア推移グラフを表示する
ポイントを選択すると、そのレポートの詳細情報に表示を切り替えることができる

7

グラフレンジスライダー
現在表示している期間
左右のつまみを調整することで表示期間を調整することができる

6.3.3.3. 頻度スコア詳細情報

指定したレポート設定+日付+ユーザーにおける、1日の頻度の推移や傾向を詳細に確認したい場合、本画面にて確認できます。
リスクスコアリング画面の左ペイン「レポート」を選択して頻度スコアのランキング表のスコア算出対象を選択するか、特定レポートの総合スコア推移画面で頻度スコアグラフのポイントを選択すると表示できます。
../_images/DetailedFrequencyScoreInformation.png

エリア

説明

スコア算出対象情報エリア
名前および最新のスコアを表示する
各項目の詳細は「特定レポートの総合スコア推移」を参照

リスクスコア推移グラフエリア
選択したレポートの各リスクスコアの推移を表示する
各項目の詳細は「特定レポートの総合スコア推移」を参照

頻度詳細情報グラフエリア

折れ線およびカラーマップで頻度の推移や傾向を表示する

●頻度詳細情報グラフエリアの見方

../_images/FrequencyDetailedInformationGraphArea.png

項目

説明

グラフ横軸

1日の時間軸。0~23時まで1時間毎の目盛で表す

グラフ縦軸

頻度値。リスクスコアの大きさではなく、頻度を表す

折れ線グラフ
プロットは「各時刻のアクセスログ発生件数=頻度」を表す
すなわちグラフは発生件数の 推移 を表す

カラーマップグラフ
指定したレポート設定+日付+スコア算出対象における1日の 傾向 を表す
頻度の値に対するリスクスコアの大きさを色で表す
灰色に近いほどリスクスコアが小さく、紺色に近いほど大きくなる

カラースケール

カラーマップグラフの分布および変動を示すガイド

虫眼鏡アイコン

検索画面を開く。別タブで1日のアクセスログの検索結果画面を表示する

●折れ線グラフ/カラーマップグラフ/頻度スコアの見方

折れ線グラフがカラーマップグラフのどの領域に分布しているかによって、指定したレポート設定+日付+スコア算出対象における頻度スコアが計算されます。

../_images/HowToReadTheGraph.png

グラフ

頻度スコア

説明
カラーマップグラフの
灰色の領域が広い

1
その時間帯は普段高い頻度でアクセスのある時間帯であることを意味する
例)9時~18時勤務で最も11時にファイルアクセスを行う頻度が高い場合、
11時は灰色の縦幅が大きくなる

折れ線グラフが灰色の領域にある

1

その時間帯では正常な傾向であることを意味する
カラーマップグラフの
紺色の領域が広い

2
その時間帯は普段あまりアクセスがないことを意味する
例)9時~18時勤務で0~5時はあまりアクセスが無い場合、
その時間帯は紺色が広がる

折れ線グラフが紺色の領域にある

2

その時間帯周辺で異常な傾向があることを意味する
1(1,2)

頻度値が高くてもその領域が灰色の場合、折れ線グラフのプロットが青色の領域内であれば頻度スコアが低い(リスクが低い)。

2(1,2)

頻度値が低くてもその領域が紺色の場合、折れ線グラフのプロットが赤色の領域内であれば頻度スコアが高い(リスクが高い)。

ヒント

頻度値の単位について、現在は1日における各時刻単位のみです。現行バージョンでは、曜日単位の頻度傾向を解析する等の機能はありません。

●操作方法

  • リスクスコア推移グラフのポイントを選択すると、その日付の詳細情報が頻度詳細情報グラフに表示されます。

../_images/FrequencyScorePointSelection.png

  • 頻度詳細情報グラフ上で、任意の領域をドラッグするとズームできます。

../_images/DragASpecificArea.png

  • 頻度詳細情報グラフ上で、ダブルクリックすることでズームを解除できます。

  • 頻度詳細情報グラフの折れ線の各ポイントにカーソルを合わせると、その時刻における頻度値がホバー表示されます。

../_images/HoverDisplayOfPlot.png

  • 頻度詳細情報グラフの折れ線の各ポイントをクリックすると、別タブで検索画面を表示します(クリックした時間帯で検索する)。

  • 「検索画面を開く」をクリックすると別タブで検索画面を表示します(1日の時間帯で検索する)。

../_images/OpenSearchScreen.png

  • 頻度詳細情報グラフの「頻度」「パス」のトグルボタンを押下して、パススコア詳細情報画面に切り替えることができます。

../_images/PassToggleButton.png

6.3.3.4. パススコア詳細情報

指定したレポート設定+日付+スコア算出対象における、その日のパス名のランキングを確認できます。
1日のうちにアクセスされたパスの中でリスクが大きいパス名が検出されているかなどを確認することができます。
リスクスコアリング画面の左ペイン「レポート」を選択してパススコアのランキング表のスコア算出対象を選択するか、特定レポートの総合スコア推移画面でパススコアグラフのポイントを選択すると表示できます。
../_images/PassScoreDetailsScreen.png

エリア

説明

スコア算出対象情報エリア
名前および最新のスコア、関連キーワード(画像)を表示する
各項目の詳細は「特定レポートの総合スコア推移」を参照

リスクスコア推移グラフエリア
選択したレポートの各リスクスコアの推移を表示する
各項目の詳細は「特定レポートの総合スコア推移」を参照

異常パスランキングエリア

異常と判定されたパスを最大10位までランキング形式で表示する

●リスクスコア推移グラフ

リスクスコア推移グラフのポイントを選択すると、その日付のパスが異常パスランキングエリアに表示されます。

../_images/PathScorePointSelection.png

●異常パスランキング

1日のうちにアクセスされたパスをランキング形式で表示します。
ランキングに入るのはリスクスコアが1を超えるパスが対象になります。0~1以下のリスクスコアのパスはランキングの対象にはなりません。
../_images/AbnormalPathRanking.png

ヒント

「パス名」はスコア集計キーの第2集計キーで指定された値を取得するため、レポート設定でファイルアクセス系以外の操作(LOGON、ADMIN等)も含まれる場合、ファイルパス以外の値もリスクスコアリングの対象になります。

項目

説明

順位

ランキングの順位を表示する。最大で上位10位まで表示される

パス名
アクセスしたファイルパス名を表示する
スコア集計キーの第2集計キーで指定された値を取得する
パス名のリンクをクリックすると別タブで検索画面が表示される

リスクスコア
スコアが1以上の値を取る。1未満のスコアはランキングに入らない
このランキングの中で最大のリスクスコアが、このレポート設定+日付+スコア算出対象における最終的なパススコアとなる

虫眼鏡アイコン
検索画面を開く
別タブで1日のアクセスログの検索結果画面を表示する

歯車アイコン
パススコアのホワイトリスト管理。詳細は「パススコアのホワイトリスト管理」を参照

●検索画面とのリンク

虫眼鏡のアイコンをクリックすると、スコア算出対象の1日の検索結果が別タブで表示されます。
パス名をクリックした場合は、スコア算出対象の1日の検索結果に対してパス名の値をフィルターで対象とした検索結果が表示されます。
../_images/PathLink.png

●パススコアのホワイトリスト管理画面とのリンク

歯車のアイコンをクリックすると、パススコアのホワイトリスト管理画面が別タブで表示されます。
各項目の詳細は「パススコアのホワイトリスト管理」を参照
../_images/WhitelistLink.png

●頻度とパスの切り替え

パススコア詳細情報画面の「頻度」「パス」トグルボタンを切り替えると、頻度詳細情報グラフに切り替えることができます。
../_images/FrequencyToggleButton.png

●関連キーワード

パススコア詳細情報画面では関連キーワードを表示します。クリックすると拡大します。
関連キーワードは指定したスコア算出対象がアクセスしているファイルの傾向を表します。
頻繁にアクセスされるファイルのパスに含まれる単語を抽出し、より出現頻度の高い単語を大きく表示します。
../_images/WordCloudScaleUP.png

ヒント

データが少ない段階では「No Word Cloud」と表示されることがあります。データが増加すると表示されるようになります。

6.3.4. リスクスコアリング結果の保持期間

リスクスコアリングの結果は、データベースの自動メンテナンス設定の保持期間に従って保持されます。保持期間の初期値は3ヶ月間です。
この場合、3ヶ月より前のリスクスコアリングの結果はメンテナンスタスクにより自動削除されます。

6.3.4.1. リスクスコアリングの自動メンテナンス設定

リスクスコアリング用DBのデータ保持期間を指定します。
[管理]画面から[ログメンテナンス]を選択し、[自動メンテナンス] を展開します。
../_images/RiskScoringMaintenance.png

6.3.5. パススコアのホワイトリスト管理

稀にアクセスが発生するファイルが存在し、そのファイルにアクセスした時にパススコアが高くなる(異常と検知される)場合があります。
例)

  • 月に一度や半年に一度にしか更新しないファイル(勤怠処理、棚卸台帳など)にアクセスしたことで、そのユーザーのパススコアが100点になった。

  • 業務で必要になり他の部署フォルダーの資料にアクセスしたことで、そのユーザーのパススコアが100点になった。

スコア上は異常と検知されてもユーザーやサーバなどが異常ではないと判断でき、その対象パスを異常検知の対象外としたい場合、それ以降のリスクスコアリングで異常と検知されないよう設定することが可能です。
対象パスを異常と検知しない設定を「パススコアのホワイトリスト管理」で行います。

6.3.5.1. ホワイトリスト管理の画面

パススコアのホワイトリスト管理は、[管理]画面から[リスクスコアリング]を選択することで表示できます。
この画面は パススコア詳細情報 の歯車アイコンをクリックして表示することもできます。
../_images/PathScoreWhiteListManagement01.png

項目

説明

パススコアのホワイトリスト管理

レポート名
ホワイトリストを設定したいレポートを選択する
パススコアを設定しているレポート名が選択肢に表示される

スコア算出対象名
ホワイトリストを設定したいスコア算出対象を選択する
選択中のレポートにおけるスコアのある対象が選択肢に表示される

ホワイトリスト

パスリストから追加
「スコアの高いパスリスト」を表示する

削除
選択中のパスをホワイトリストからまとめて削除する

チェックボックス
チェックボックスにチェックを入れたパスに対し、一括操作が可能
すべてのパスを選択したい場合は、タイトル行にあるチェックボックスをクリックする

パス名
ホワイトリストの対象パス名
ダブルクリックするとパスを編集することが可能

周辺も含む
登録した対象パスのみスコアを下げるか、対象パス周辺のパスも下げるかの設定が可能
[パスリストから追加]ボタンを押すと「スコアの高いパスリスト」が表示されます。選択されたレポートおよびスコア算出対象のパススコアが表示され、異常と検知しない対象パスを登録します。
../_images/PathScoreWhiteListManagement02.png

項目

説明

パススコアのホワイトリスト管理

レポート名
ホワイトリストを設定したいレポートを選択する
パススコアを設定しているレポート名が選択肢に表示される

スコア算出対象
ホワイトリストを設定したいスコア算出対象を選択する
選択中のレポートにおけるスコアのある対象が選択肢に表示される

ホワイトリスト

閉じる
「スコアの高いパスリスト」を非表示にする

削除
選択中のパスをホワイトリストからまとめて削除する

チェックボックス
チェックボックスにチェックを入れたパスに対し、一括操作が可能
すべてのホワイトリストを選択したい場合は、タイトル行にあるチェックボックスをクリックする

パス名
ホワイトリストの対象パス名
ダブルクリックするとパスを編集することが可能

周辺も含む
登録した対象パスのみスコアを下げるか、対象パス周辺のパスも下げるかの設定が可能

スコアの高いパスリスト

日付
パスリストを表示する年月を指定する

チェックボックス
チェックボックスにチェックを入れたパスに対し、一括操作が可能
すべてのパスを選択したい場合は、タイトル行にあるチェックボックスをクリックする

リスクスコア
パススコアを表示する

矢印ボタン
ホワイトリストに登録したいパスをチェックして矢印ボタンを押すとホワイトリストに追加される

6.3.5.2. ホワイトリストの使い方

例として、「異常なファイルアクセス」レポートで「OSAKA\t-amiya」ユーザーが「FileServer-1部活サッカー部部員一覧.xls」にアクセスするのは「異常ではない」と判断した場合、このパスをホワイトリストに登録します。

../_images/NotAnomaly.png
1. パススコアのホワイトリスト管理画面を開く
2. レポート名に「異常なファイルアクセス」、スコア算出対象に「OSAKA\t-amiya」を選択する
../_images/ReportandUser.png
3. [パスリストから追加]ボタンを押してから「日付」を指定し、「スコアの高いパスリスト」を表示する
../_images/AddFromPathListButton.png
4. 登録したいパスにチェックする。矢印ボタンを押す
../_images/AddFromPathListButtonWhitelist01.png
5. ホワイトリストに追加される
../_images/AddFromPathListButtonWhitelist02.png

ヒント

「周辺も含む」にチェックした場合、ホワイトリストに追加したパス配下および周辺パスのスコアを下げることが可能です。
「周辺を含む」のチェックを外した場合、追加したパスに完全一致するパスのみスコアを下げることが可能です。
6. [OK]ボタンを押して設定を保存する
7. 次回レポートタスクが実行されると、このホワイトリストリストの内容が反映される
(該当日付を含む期間を対象にレポート再作成を実行しても反映される)
../_images/WhitelistEffect.png

ヒント

登録したホワイトリストがパススコアに反映されるのは、次回のレポート作成以降です。

ヒント

登録したパスにおいて完全一致するパスおよび配下のパススコアは1.0以下に下がります。
登録したパスの配下ではない周辺のパスでは、1.0以下にならないままとなる場合があります。

ヒント

登録したホワイトリストは、選択されたレポート・スコア算出対象に対するパススコア算出にのみ影響を与えるものです。
他のレポート、他のスコア算出対象のパススコア算出には影響ありません。頻度スコア算出にも影響はありません。

6.4. 付録

6.4.1. 頻度スコアの算出の仕方

頻度スコアの算出は、レポートタスクを実行することによって、レポート設定に基づいてアクセスログを検知し、すでに学習している学習モデルから発生確率を計算します。例えば、学習モデルでは0時は通常アクセス頻度が少ない時間帯という場合、「このモデルでは0時においてアクセスログが多くなる確率が低い」とういことになります。
もし、ある日の0時のアクセスログ件数が多かった場合、この学習モデルでは異常ということになります。つまり、発生確率が低いほど異常だと判定され、発生確率が高いほど正常だと判定されます。
各時間帯の発生確率を総合して、1日の頻度スコアを算出します。
../_images/HowToCalculateTheFrequencyScore.png

6.4.1.1. リスクスコアが正常な例

  • カラーマップグラフを見ると、灰色の領域が7時~17時に広がっており、このスコア算出対象は普段日中によく活動する傾向があるといえる

  • 折れ線グラフを見るとこの日の場合は、11時~15時にアクセスログが出力されている

  • 灰色の領域内で折れ線のプロットが収まっている=普段活動が多い時間帯にこの日もアクセスログが出力されている

  • そのため、この日のスコア算出対象は普段どおりの行動をしており、正常といえる

  • この日の頻度スコアは小さくなる

../_images/FreqGraph_Normal.png

6.4.1.2. リスクスコアが異常な例

●異常に多いアクセス

  • カラーマップグラフを見ると、日中の時間帯において、頻度値(縦軸)100~200までは灰色が多く広がっており、200~400を超えると次第に紺色の領域が多くなってくる

  • よって、このスコア算出対象は日中200~400回以下のアクセスログが出力される活動を普段行っているといえる

  • 折れ線グラフを見るとこの日の場合は、日中で300~500回ものアクセスログが出力されており、プロットが紺色の領域に多くはみ出している

  • よって、このスコア算出対象はこの日、普段よりも日中の活動が異常に多かったといえる

  • この日の頻度スコアは高くなる

../_images/FreqGraph_AbnormalAmount.png

●普段と異なるアクセスのピーク

  • カラーマップグラフを見ると、お昼前後は、灰色の領域が頻度値(縦軸)200まで広がっており、400を超える周辺で紺色になっている

  • 同様にカラーマップグラフから、夕方頃は、灰色の領域が頻度値(縦軸)100~付近で広がっており、200を超える周辺で紺色になっている

  • よって、このスコア算出対象の普段の活動ピークはお昼前後であり、夕方頃はお昼頃と比べて普段活動量が少ないといえる

  • 折れ線グラフを見るとこの日の場合は、夕方頃にピークがあり300回ほどのアクセスログが出力されているため、プロットが紺色の領域にはみ出している

  • このピークが日中であれば水色の領域に収まり、ほぼ普段通りの活動量といえたが、この日はピークが夕方頃にあるため、このスコア算出対象は普段と異なる行動をしており、異常といえる

  • この日の頻度スコアは高くなる

../_images/FreqGraph_AbnormalPeakDiff.png

●業務時間外の継続的なアクセス

  • カラーマップグラフを見ると、0時~4時や20時~23時は灰色の領域が頻度値(縦軸)0付近にしかない

  • よって、このスコア算出対象は普段夜間にはほとんど活動をしないといえる

  • 折れ線グラフを見るとこの日の場合は、この夜間の時間帯に40回程度の継続的なアクセスログが出力されており、プロットが紺色の領域にはみ出している

  • よって、このスコア算出対象はこの日、普段と異なり夜間に異常な活動をしていたといえる

  • この日の頻度スコアは高くなる

../_images/FreqGraph_AbnormalTime.png