※本コンテンツは、2021年7月1日に開催されたJBpress主催「第1回金融DXフォーラム」のセッション3「非構造化データを用いたSplunkによる、なりすまし不正ログイン対策」の内容を採録したものです。
Splunk Services Japan 合同会社
シニアセールスエンジニア
横田 聡 氏
Webサービスを取り巻く脅威。金融犯罪対策の今
昨今の金融犯罪対策について、大きく三つのポイントがあります。一つ目は、デジタルシフトに伴う犯罪の増加です。コロナ禍でオンラインサービスの利用が進んだこともあり、フィッシングやネット不正送金の被害も増えています。二つ目は、サイロ化されたツールや組織の弊害です。新しい攻撃の手口に対して、サイロ化したツールや組織のために迅速に対応できないケースが増えています。三つ目は過検知疲れです。新しいセキュリティリスクに対して対応しようにも、限られたリソースの中で、既存の監視アラートへの対応自体に疲弊してしまっているケースが出てきています。
情報セキュリティーの観点から見ても、Webサービスを取り巻く脅威が非常に大きくなっています。下図は、IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2021」という資料からの抜粋です。
表の左側が個人、右側が組織への脅威になります。この中で、赤色で囲ったのが、不正ログインに関する脅威です。攻撃の手口の変化は早く、かつ巧妙化しており、組織への脅威については、昨年まで16位と圏外だった「インターネットサービス上の不正ログイン」が8位に上がっています。銀行、証券モバイルサイトで不正ログイン事案が発生していたことは、記憶に新しいかと思います。
不正ログインへの対処のためには、二要素認証のようなセキュリティーの壁を高くする予防的措置とともに、壁を乗り越えられた際に早期に発見するデータ分析の力も必要です。
非構造化データで柔軟に素早く分析要件に対応
Splunkはデータ分析プラットフォームの会社としてアメリカで創業し、今年で18年になります。大量の非構造化データを分析し、アクションにつなげるためのサービスを提供しています。
従来のリレーショナルデータベースでは、初めに分析要件を定義してデータベースを設計し、データを格納、検索する仕組みを構築します。新しい業務・分析要件が出た場合は再構築、再開発しなければならず、新しいデータを扱えるようになるまで、非常に時間がかかります。それに対して、当社のマシンデータプラットフォーム「Splunk」は、非構造化データをそのまま取り込んで保存しておき、分析のために必要なスキーマを指定していくというアプローチを取っているため、スキーマの更新、追加、変更も容易です。
「Splunk」の導入効果としてさまざまなユースケースで共通しているのが「時間短縮」です。アプリケーション開発、IT運用、障害の検出・調査などの時間を削減した結果、セキュリティーリスクの低減、障害によるビジネスへのインパクトの減少にも寄与します。
「Splunk」が得意とする非構造化データは、テキスト形式のデータです。一例として、Webアクセスログの1イベント、1レコードを表示したのが下図です。不正ログイン監視において分析上重要になるキーをハイライトしています。普段アクセスのない地域や国からのアクセスや、IPアドレス、ブラウザ、言語設定がいつもと異なるといった不正ログインの兆候をモニタリングできます。
こうしたWebアクセスログは、マーケティングで多く活用されています。テキスト形式の非構造化データはIT運用やビジネス分析、どちらにも非常に利用価値が高いということです。データマイニングの専門家が使うプロセスモデルでも、分析要件を後から追加することを前提にした考え方が提唱されています。