※本コンテンツは、2021年7月1日に開催されたJBpress主催「第1回金融DXフォーラム」のセッション3「非構造化データを用いたSplunkによる、なりすまし不正ログイン対策」の内容を採録したものです。
Splunk Services Japan 合同会社
シニアセールスエンジニア
横田 聡 氏
Webサービスを取り巻く脅威。金融犯罪対策の今
昨今の金融犯罪対策について、大きく三つのポイントがあります。一つ目は、デジタルシフトに伴う犯罪の増加です。コロナ禍でオンラインサービスの利用が進んだこともあり、フィッシングやネット不正送金の被害も増えています。二つ目は、サイロ化されたツールや組織の弊害です。新しい攻撃の手口に対して、サイロ化したツールや組織のために迅速に対応できないケースが増えています。三つ目は過検知疲れです。新しいセキュリティリスクに対して対応しようにも、限られたリソースの中で、既存の監視アラートへの対応自体に疲弊してしまっているケースが出てきています。
情報セキュリティーの観点から見ても、Webサービスを取り巻く脅威が非常に大きくなっています。下図は、IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2021」という資料からの抜粋です。
表の左側が個人、右側が組織への脅威になります。この中で、赤色で囲ったのが、不正ログインに関する脅威です。攻撃の手口の変化は早く、かつ巧妙化しており、組織への脅威については、昨年まで16位と圏外だった「インターネットサービス上の不正ログイン」が8位に上がっています。銀行、証券モバイルサイトで不正ログイン事案が発生していたことは、記憶に新しいかと思います。
不正ログインへの対処のためには、二要素認証のようなセキュリティーの壁を高くする予防的措置とともに、壁を乗り越えられた際に早期に発見するデータ分析の力も必要です。
非構造化データで柔軟に素早く分析要件に対応
Splunkはデータ分析プラットフォームの会社としてアメリカで創業し、今年で18年になります。大量の非構造化データを分析し、アクションにつなげるためのサービスを提供しています。
従来のリレーショナルデータベースでは、初めに分析要件を定義してデータベースを設計し、データを格納、検索する仕組みを構築します。新しい業務・分析要件が出た場合は再構築、再開発しなければならず、新しいデータを扱えるようになるまで、非常に時間がかかります。それに対して、当社のマシンデータプラットフォーム「Splunk」は、非構造化データをそのまま取り込んで保存しておき、分析のために必要なスキーマを指定していくというアプローチを取っているため、スキーマの更新、追加、変更も容易です。
「Splunk」の導入効果としてさまざまなユースケースで共通しているのが「時間短縮」です。アプリケーション開発、IT運用、障害の検出・調査などの時間を削減した結果、セキュリティーリスクの低減、障害によるビジネスへのインパクトの減少にも寄与します。
「Splunk」が得意とする非構造化データは、テキスト形式のデータです。一例として、Webアクセスログの1イベント、1レコードを表示したのが下図です。不正ログイン監視において分析上重要になるキーをハイライトしています。普段アクセスのない地域や国からのアクセスや、IPアドレス、ブラウザ、言語設定がいつもと異なるといった不正ログインの兆候をモニタリングできます。
こうしたWebアクセスログは、マーケティングで多く活用されています。テキスト形式の非構造化データはIT運用やビジネス分析、どちらにも非常に利用価値が高いということです。データマイニングの専門家が使うプロセスモデルでも、分析要件を後から追加することを前提にした考え方が提唱されています。
Splunk国内外の導入事例とデモンストレーション画面
実際に「Splunk」を利用して金融犯罪に特化した不正監視を行っている事例をご紹介します。ある国内金融機関では、インターネットバンキング、銀行口座開設情報などのデータを、リスクエンジンを使って分析し、不正検知していました。しかし、新たな攻撃の手口の増加により、複数のデータを相関分析する必要が出てきました。そこで、横断的に調査するプラットフォームとして「Splunk」を採用。勘定系システムの預金の取引データなども分析対象とし、既存のリスクエンジンと合わせてハイブリッドに運用しています。
海外ではアラブ首長国連邦の銀行金融サービス企業であるCommercial Bank of Dubai様では、自社サービス全てを横断して見るクロスチャンネルのFraud(不正行為)検知基盤をとして、「Splunk」を利用しています。クレジットカード、デビットカード、オンラインバンキングサービス、モバイルバンキングサービスを中心にビジネスプロセス上に発生する各種データを集めています。下図が実際に使われている「Splunk」上でのダッシュボードの一画面です。ハイリスクと評価されたアカウントIDを入力して検索をかけると、そのアカウントが行ったクレジットカード、デビットカード、オンラインバンキングなどの利用状況を一元的に可視化し、調査することができます。
他の業界では、アフラック生命保険様がクロスチャンネルのFraud監視基盤として導入し、セキュリティーデータ、ビジネスデータをリアルタイムに可視化できる仕組みを構築しています。
上の図は、「Splunk」のFraud検知・分析ソリューションを、レベル別に示したものです。レベル1はログを集めて調査する部分。レベル2はルールを設定してのアラート管理。レベル3はリスク分析と自動化であり、レベル4として機械学習を使ってアノマリ検知するステップが続きます。Fraud検知のためには、このように段階的な取り組みを一つずつ押さえていくことが大切です。
<PR>
