SaaS

コンテンツのセキュリティを強化できるBox Shieldで脅威検知してみた

こんにちは、臼田です。

みなさん、データのセキュリティ確保できてますか?(挨拶

今回Boxのセキュリティ機能であるBox Shieldの脅威検知機能を試したので紹介します。

コンテンツを保護する良い機能なのでわかりやすく説明して行いこうと思います。

Box Shieldとは

Box ShieldはBoxで利用できるより発展的なセキュリティ機能です。

そもそもBoxはクラウド上に散らばりがちなコンテンツを1箇所に集約してセキュリティやコンプライアンスを保ちやすく出来るソリューションで、Box Shieldがなくても細かい7段階のアクセス制御やアクセス・編集履歴のトラッキングなどでセキュアな管理が可能でした。

SaaSと連携して、例えばSlack / MS365 / Salesforceなどのデータの保存先をBoxに統一して一元的なファイル管理を実施できることは非常に強力です。

更にBox Shieldを使うことにより機械学習と自動化により不要なデータの漏洩や潜在的な脅威を素早く検知できるようになりました。

Box Shieldの概要 – Box Support

具体的には2つの機能があります。

  • スマートアクセス
  • 脅威検出

スマートアクセス

スマートアクセスは多層的なアクセス制御を提供します。

元々Boxでは細かいアクセス制御を上位のディレクトリで定義してその配下に徹底することが可能です。そのためトップレベルでアクセス制御に統制を効かせて不必要なアクセスを発生させないようにできます。

スマートアクセスその機能に重ねて分類に基づくアクセスポリシーを定義して社内外のコンテンツの共有やダウンロードを制御できます。

フォルダとしては公開されていても、自動的に割り当てられたファイルの分類によって誤った公開や不正な公開を防ぐことができます。

脅威検出

脅威検出はBox上の操作でユーザーの行動を分析して、アカウントの侵害やデータの盗難などの脅威を検出します。

各ユーザーの定常的な行動を機械学習で分析しているため、普段と違う場所からアクセスがあるようなアカウントの侵害や、正規のユーザーが退職前に不正に大量のデータダウンロードを行っていることの検知などが可能です。

また、最近マルウェアの検知も可能になりました。

今回はこちらの脅威検出の機能を検証しました。

脅威検出の検証

脅威検出は事前にルールを定義しておき、そのルール通りのSeverityでアラートを出したり通知したりできます。

見やすいダッシュボードで一覧で管理したりもできますし、アラートをSIEM等と連携することもできます。

ルールは現状4つの種類が用意されています。(最近1つ追加されました。随時追加されていくと思われます)

  • 異常なダウンロード
  • 不審な場所
  • 不審なセッション
  • 悪意のあるコンテンツ

それぞれ見ていきます。

異常なダウンロード

文字通り定常的な利用からかけ離れている異常なダウンロードを検知します。よくある退職前に機密情報を大量にダウンロードして持ち去るユーザーを検知できます。

検知したら下記のようにダウンロード差分として、どれくらい異常にダウンロードしているかひと目で分かります。

更に詳細として過去のアクティビティと比較してみることができます。

実際にどのようなファイルにアクセスしているかは、単純にファイルの一覧だけではなく、ディレクトリ別に表示されるので直感的にわかりやすいです。

不審な場所

Boxへのアクセスについてホワイトリスト/ブラックリスト形式で国/IPリストによるアラートの設定が可能です。

不審な場所のアラートが手動のリストだとつらみがあるように感じられますが、自動化された異常の検知は後続の「不審なセッション」のルールでカバーされているので、不審な場所はゆるく使うと良さそうです。

IPリストは直接ルールに記述せずにリストを作成して名前をつけられるので管理しやすいです。

対象とするコンテンツの種類を分類により絞ることも可能です。

実際に検知するとGeoロケーションがマップに表示される上に、IPの所持者も出してくれるのでわかりやすいです。

該当時刻のユーザーの操作もわかるので、不審なファイルや操作が行われていないか辿りやすいです。

不審なセッション

セッション情報が盗まれて利用されているような動作を検知します。例えば下記のようなものを検知できます。

  • ユーザーエージェント文字列が異常
  • IDが異常
  • アプリケーションの種類が一般的ではない
  • IPアドレスが新しい
  • ログイン場所が考えられないほど高速に変化している

下記は検知した結果ですが、どれくらい離れているかや場所の違い、利用されているツールやユーザーエージェントの違いがわかりやすく出ています。

他にも不審な場所と同じようにマップやアクセスしたファイルの情報も確認できます。

悪意のあるコンテンツ

さて、Shieldの脅威検出の中でも非常にありがたい機能が悪意のあるコンテンツのルールです。

アップロードされたマルウェアを検知できる単純ですが強力な機能です。

今回検証としてeicarファイルをアップロードしてみましたが、3分程度で検知したので素早いです。

検知したファイルのダウンロードに制限をかけることができるため、マルウェアの拡散を防ぐことが可能です。

マルウェアであると判断されたファイルにはメタデータ「Virus Scan」が付与され、その後の対応に活用できます。

まとめ

Box Shieldの脅威検出機能を検証して紹介してみました。

各ルールでBoxのセキュリティを更に強化することができ、不正なユーザーや正規ユーザーの異常な行動、マルウェアなどを検出して対応につなげることが可能になっています。

通常であればユーザーのすべてのアクティビティのログを分析しないと検知できないようなものをサービスとして提供してもらえるのはとてもありがたいですね!ぜひ使っていきましょう!

臼田 佳祐

AWSとセキュリティやってます。普段はクラスメソッドで働いてます。クラウドネイティブでは副業としてセキュリティサービスの検証とかやってます。