GXO

UEBA

内部脅威の兆候
ログと行動分析で確認する

深夜の大量データダウンロード、普段アクセスしない機密フォルダへの侵入、退職予定者の不審な情報収集──
AIによる行動分析を活用し、異常の条件、通知先、調査手順を設計します。

範囲整理要件確認概算確認
行動ログ確認権限利用の棚卸し大量DL条件設計退職者リスク確認通知先整理月次レビュー行動ログ確認権限利用の棚卸し大量DL条件設計退職者リスク確認通知先整理月次レビュー

- CHALLENGES ー

なぜ内部脅威は見つけられないのか

従来の対策の限界

アクセス権限管理

正規のアクセス権を持つ社員が想定外の行動をした場合、権限管理だけでは兆候を追いにくいことがあります

定期監査

リアルタイムの異常は見逃します。監査のタイミング以外で発生した不正行為は、事後まで発覚しません

性善説の文化

悪意ある行動を想定していません。日本企業特有の「社員を信頼する文化」が、内部脅威への対策を遅らせています

データ持ち出しの予兆

退職予定者が通常より多くのファイルをダウンロードした場合に、どの条件で通知するかを決める必要があります

なりすましアクセス

休暇中の社員IDでログインされても、アカウント単位の監視では異常と判断できません

特権アカウントの不正使用

管理者権限の悪用は、最も大きな被害をもたらすにもかかわらず検知が最も困難です

- SOLUTION ー

AIで整理する内部脅威の確認観点

UEBAの仕組み──行動学習から自動対応まで

01

行動学習(ベースライン構築)

各ユーザーの「正常」な行動パターンを1〜3ヶ月で学習します。ログイン時間、アクセス先、ファイル操作量など多角的な行動データからベースラインを構築します。

UEBA_LEARNING

- PROCESS ー

段階導入で検知条件を整える

ログ接続、学習、通知、運用レビューを段階的に進めます

1

環境準備

1週目

既存ログの接続設定、エージェントレス導入を行います。既存システムに影響なく、ユーザーは導入を意識しません。

2

学習フェーズ

2〜4週目

正常行動パターンの自動学習とベースライン構築を実施します。

3

検知開始

2ヶ月目

異常行動のアラートを開始し、チューニングを実施します。

4

本格運用

3ヶ月目

自動対応の設定とレポート体制を確立します。

- WHY GXO ー

GXOのUEBAが選ばれる理由

日本企業に特化した4つの強み

日本企業特化のAIモデル
01

日本企業特化のAIモデル

日本企業の承認フローや人事運用を踏まえ、過剰検知を抑えるための条件設計と既存システム連携を確認します。

Splunk基盤との統合
02

Splunk基盤との統合

既存SIEM投資を活用し、内部脅威と外部脅威のログを合わせて確認する設計を行います。

詳しく見る
専門アナリストチームと実績
03

専門アナリストチームと実績

誤検知の継続改善とインシデント対応を支援。金融系企業や製造業で必要になりやすい確認観点を整理します。

- CASE STUDIES ー

内部脅威対策の確認シナリオ

実際に整理すべき検知・調査観点

金融従業員3,000名

金融系企業D社

課題

不正送金の疑いがあったが証拠がなく、従来の監視システムでは正規権限内の操作を検知できなかった

ソリューション

UEBAを導入し、行動パターン、顧客情報閲覧、深夜アクセス、振込操作の確認条件を整理

RESULTS

行動

確認条件を整理

監査

説明材料を整備

- FAQ ー

よくあるご質問

監視対象、ログ閲覧権限、通知内容、従業員説明を整理し、労務・法務の確認を前提に運用します。

誤検知はなくせないため、学習期間、ホワイトリスト、例外ルール、レビュー手順を設計します。

費用はログソース、対象ユーザー数、既存SIEM連携、運用支援範囲により変動します。

100名以上から効果的に運用できます。規模別プランをご用意しています。

CTA_UEBA

- CONTACT ー

内部脅威対策の前提を整理しませんか。

ログソース、権限、退職者対応、通知条件、調査手順を確認し、UEBA導入の前提を整理します。