Box Shieldの脅威検出の設定方法
Box Shieldでは、ユーザーの普段の業務活動から逸脱した行動について警告するさまざまな脅威検出ルールを設定し、適用することができます。
脅威検出を使用すると、以下のことが可能です。
- アクセス権限を悪用してデータを盗んだりコンテンツにアクセスしたりしたアカウント所有者を検出する。
- 場所、アクティビティ、アクセスパターンなどの状況に基づいて、侵害されたアカウントを検出する。
- 企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出し、ダウンロードの制限を適用する。
- ルールと行動に基づいて、セキュリティに関する重要な決定を行う。
Box Shieldには、設定および適用可能な検出ルールが数種類用意されています。検出ルールは、アカウント所有者のアクティビティで特定の種類の異常なイベントを監視し、該当するイベントを検出するとShieldの通知を送信します。検出ルールの種類は以下のとおりです。
悪意のあるコンテンツ
このルールの種類では、企業のBoxアカウントにアップロードされるコンテンツで潜在的なマルウェアを検出します。悪意のあるコンテンツのルールでは、複数の種類のマルウェア検出が行われます。
- 自分のファイルとマルウェアを含むことが判明しているファイルを比較する、脅威の評価スキャン
- ファイルのコンテンツを評価する、特定のファイルの種類のディープスキャン
マルウェアディープスキャンは、Box Shield脅威検出の悪意のあるコンテンツのルールで利用できる、追加のスキャン機能です。
この機能をテストするために、ウイルス対策ソフトウェアを起動するよう特別に設計されたEICARのマルウェアテストファイルをアップロードしました。その結果を以下に示します。
以下に、1つのテストファイルの詳細を示します。
Shieldが潜在的なマルウェアを検出すると、Boxでは、デフォルトで、Boxウェブアプリから悪意のあるコンテンツにアクセスしているユーザー全員に警告のバナーが表示され、このルールの設定時に選択したダウンロードの制限が適用されます。
マルウェアディープスキャンの詳細については、こちらのBoxのサポート記事を参照してください。
不審な場所
このルールの種類では、通常とは異なる場所やホストIPアドレス、または除外対象に指定されている場所やホストIPアドレスからコンテンツにアクセスしていると思われるユーザーを検出します。
このルールをテストしたとき、2000年代の初めに、財産を取り戻すための支援を求めてきたナイジェリアの詐欺のことを思い出しました。私のVPNからはナイジェリアには接続できないため、南アフリカを使ってテストする必要がありました。
このアラートの詳細は以下のとおりです。
不審なセッション
このルールの種類では、ユーザーエージェント文字列が異常、IDが異常、アプリケーションの種類が一般的ではない、IPアドレスが新しい、ログイン場所が考えられないほど高速に変化しているなどの特徴があるセッションでコンテンツにアクセスしていると思われるユーザーを検出します。
このルールの種類が検出する条件は一意に決めにくいため、テストするのはかなり困難です。VPNの正規のユーザーとしてさまざまな場所から接続しているように見えることもあれば、異なるネットワーク上の他のコンピュータから別のブラウザを使用していたり、モバイルデバイスから同じファイルにアクセスしていたりすることもあります。
ほとんど検出されないかまったく検出されないと報告するお客様もいれば、多数の誤検出を報告するお客様もいます。それでも、アプリ内で常に誤検出を報告して、機械学習の微調整に役立てることができます。その効果はお客様によって異なることに注意してください。
私はこのルールを実行しようとしましたがうまくいかず (ハッカーには向いていません)、Boxアプリのログインページにリダイレクトされて終わりました。つまり、そもそもルールが実行される状況になる以前に、Boxアプリのセキュリティメカニズムが侵入を許さないのです。
異常なダウンロード
このルールの種類では、異常なダウンロードのパターンを検出します。機械学習によって、ユーザーが普段操作するコンテンツが設定された後、AIによってダウンロードが正常と見なされるかどうかが評価されます。
たとえば、カスタマーサービスの担当者が、昼食に出かけたときにノートパソコンをロックするのを忘れたとしましょう。
もし誰かがそのノートパソコンを使い、財務関連のコンテンツを探し回ってダウンロードしようとした場合、持ち主がそのような行動を取ることはないので、おそらく異常なダウンロードを知らせる警告を受けることになります。
このルールも私の開発者アカウントでは実行できませんでした。なぜなら、複数のユーザーは存在せず、コンテンツやダウンロードパターンも一定ではなかったからです。
ルールの設定
ルールを作成するには、まず、管理コンソールでShieldルールにアクセスします。
ルールは、どれも一般的な形式に従いますが、種類ごとに固有のオプションが用意されている場合もあります。
まず、ルールに名前を付けて、その説明を入力します。
次に、条件の選択を定義し、これらのルールの適用先を決定します。
(前述の例のような) 不審なセッションや異常なダウンロードの場合、オプションはありません。
悪意のあるコンテンツのルールには、Microsoft Officeファイルのディープスキャンを許可するための追加オプションがあります。
不審な場所については、監視する場所とコンテンツの種類を決めることができます。
さらに、既知のコンテンツに対して、IPアドレスや特定のアプリを除外するなど、例外を作成することもできます。
最後に、これらのイベントをBoxイベントストリームに公開するかどうか、メールで特定のユーザーに通知を送信するかどうかなど、実行するアクションを選択します。
悪意のあるコンテンツのルールには、ダウンロードを制限したい場合に定義する追加オプションがあります。
ルールの設定の詳細については、こちらのBoxのサポート記事を参照してください。
検出に関するフィードバック
パフォーマンスの向上に役立てるため、ルールの検出に関するフィードバックを送信することができます。不審な場所に関するフィードバックの例を以下に示します。
さらに、悪意のあるコンテンツの検出に関するフィードバックの例を以下に示します。ここでは、安全なファイルとしてマークすることもできます。
リストの作成
多くの場合、ルールの詳細を個別に管理するよりも、リストを作成して管理する方が簡単です。
たとえば、米国による禁輸措置の対象国のリストを作成して、不審な場所のルールでそのリストを使用できます。
注: このリストはWikiの記事を基に作成されており、一例として示しています。
Shieldリストを使用すると、対象に含める場所、IPアドレス、ドメイン、またはメールアドレスを設定できます。
リストの詳細については、こちらの記事Shieldリストの使用を参照してください。
検出後の対処
アラートを受け取るようになったら、まず、優先順位付けプロセスを開始して、重要で攻撃を示す脅威アラート、まったく脅威ではない脅威アラート (誤検出を含む)、2つの中間に位置づけられるアラートを判別します。
これらのルールの大半は決定的なものではなく確率的なものであることに注意してください。
詳細については、Boxのサポート記事Shieldの脅威検出アラートの優先順位付けと修正を参照してください。
いかがでしたでしょうか。さっそくBox Shieldの脅威検出を使ってみましょう。
詳細については、Boxのサポート記事脅威検出の使用とShieldのFAQも参照してください。
Box Shieldと分類のシリーズに関する以下の記事もご覧ください。
- Box Shieldの情報バリア
- Box Shieldの脅威検出 (この記事)
- Boxの分類
- Box Shieldのスマートアクセス
- FastAPIとPythonを使用した分類サービス