Workspace ONE Intelligence を使用して、収集データを表示し、スコアを使用してリスクを特定します。Workspace ONE Intelligence リスク分析機能は、ユーザーやデバイスのアクションや振る舞いを追跡し、その潜在的リスクを計算する機能です。この機能により、リスク レベルなどのメタデータとともに潜在的リスクが提示されるため、お客様の Workspace ONE UEM 環境の脆弱性を素早く測定することができます。Workspace ONE Access からログイン リスク スコアを確認することもできます。これらのスコアは、ユーザーのログイン場所から情報を取り込み、ユーザーの動作が異常かつ高いリスクを示す場合に報告を行えます。
Workspace ONE Intelligence におけるリスク スコアは、ユーザーおよびデバイスのアクションと動作を追跡するリスク分析機能です。スコアをレベルとして表示するので、信頼プロセスを高速化します。一定のレベルであればユーザーまたはデバイスを信頼できますが、直ちに緩和策が必要なレベルもあります。リスク スコアは、ベースラインまたは「通常」レベルのリスクで開始されます。ユーザーまたはデバイスの挙動が通常のものから逸脱した場合、スコア機能はその逸脱を識別して高、中、低と評価します。
スコアと組織のセキュリティ ポリシーに基づいて、さまざまなアクションに対応することができます。たとえば、受容度が大きいセキュリティ ポリシーを持つ組織では、リスク スコアが高い場合にユーザーに警告を表示します。一方、セキュリティ ポリシーが厳しい組織では、中程度のリスク スコアでも権限を拒否することがあります。リスク スコアへの対応方法としては、以下のリストの方法もあります。
リスク スコアは、デバイスまたはユーザーの挙動としてシステムが識別した内容によって変わります。これらの挙動はリスク インジケータとも呼ばれます。ポジティブな挙動は、スコアを低くする、つまり信頼性を高くします。ネガティブな挙動は、スコアを高くする、つまり信頼性を低くします。システムは、リスク スコアの元となる挙動を計算する際、いくつかのリスク インジケータを認識して集約します。
リスク インジケータ | 説明 | リスク |
---|---|---|
異常アラートのアクティビティ | 異常な数、タイプ、または重要度のセキュリティ アラートが生成されるデバイス。 | 異常な数、タイプ、重要度の脅威アラートは、侵害されている可能性があるデバイスを示しています。 |
アプリ コレクタ | 非常に多くのアプリをインストールするユーザー。 | どのアプリにも既知のまたは未パッチの脆弱性が含まれている可能性があり、これらの脆弱性は攻撃ベクトルとなる可能性があります。サイバー攻撃の対象となる領域は、デバイス上のアプリの数とともに増加します。 |
強迫的なアプリのダウンロード行動 | 短期間に異常な数のアプリケーションをインストールするユーザー。 | 自分のデバイスに一般的でないアプリを異常なペースでインストールするユーザーには、悪意あるアクティビティの被害者となる高いリスクが伴います。アプリケーションによっては、自らが役に立ち、わかりやすく、または楽しいものであるかのように偽装していながら、実際にはユーザーに害を与えます。安全でないコンテンツ(マルウェア)のフィルタリングに関するマーケットプレイスのアプローチは、ベンダーによって異なります。不注意なユーザーは、追跡、ハッキング、または詐欺に遭う可能性があります。 |
重大な CVE が過剰に発生している | パッチが適用されていない重大な CVE(共通脆弱性識別子)が過剰に発生しているデバイス。 | デバイスに存在する重大な CVE の数が多いほど、デバイスの攻撃対象領域が大きくなります。 |
更新を怠ること | デバイス OS の更新をほとんど行わない、あるいは行うことを完全に拒否するユーザーがいます。 | ソフトウェアの更新を無視すると、デバイスは攻撃に対して脆弱になり、セキュリティ侵害のリスクが高まります。 |
持続的で重大な CVE | 組織内の対象デバイスの大部分にパッチが適用された後、1 つまたは複数の重大な CVE(共通脆弱性識別子)がパッチ適用されていないデバイス。 | デバイスに存在する重大な CVE の数が多いほど、デバイスの攻撃対象領域が大きくなります。 |
希少アプリ コレクタ | 珍しいアプリケーションを多数インストールするユーザー。 | 一般的に使用されているアプリとは異なり、珍しいアプリは出所が怪しく、マルウェアが仕込まれていたり、セキュリティ上の脆弱性を抱えている可能性が高くなります。 |
リスクのあるセキュリティ設定 | 1 台または複数のデバイスを所有し、明示的にセキュリティ保護機能を無効にしているか、明示的にデバイスの紛失を宣言したユーザー。 | デバイスのセキュリティ対策を無効にすると、セキュリティ侵害のリスクが高まります。 |
通常とは異なるアプリのダウンロード | 最近、通常とは異なるアプリをインストールしたユーザーです。 | アプリは、自らが役に立ち、わかりやすく、または楽しいものであるかのように偽装していながら、実際にはユーザーに害を与えることがあります。安全でないコンテンツ(マルウェア)のフィルタリングに関するマーケットプレイスのアプローチは、ベンダーによって異なります。不注意なユーザーは、追跡、ハッキング、または詐欺に遭う可能性があります。 |
リスク スコアは、Android、iOS、macOS、および Windows プラットフォームで動作します。また、企業専用デバイス、企業共有デバイス、従業員所有 (BYOD) デバイス、または未定義として分類されたデバイスでも機能します。
デバイス プラットフォーム | 異常アラートのアクティビティ | アプリ コレクタ(管理対象外およびパブリックのアプリ) | 強迫的なアプリのダウンロード(管理対象外およびパブリックのアプリ) | 重大な CVE が過剰に発生している | 更新を怠ること | 持続的で重大な CVE | 希少アプリ コレクタ(管理対象外およびパブリックのアプリ) | リスクのある設定 | 通常とは異なるアプリのダウンロード(管理対象外およびパブリックのアプリ) |
---|---|---|---|---|---|---|---|---|---|
モバイル(iOS および Android) | ✕ | ✓ | ✓ | ✕ | ✓ | ✕ | ✓ | ✓ | ✓ |
デスクトップ(Windows および macOS) | ✓ | ✕ この機能では、アプリ データは収集されません。 |
✕ この機能では、アプリ データは収集されません。 |
✓(Windows のみ) | ✓ | ✓(Windows のみ) | ✕ この機能では、アプリ データは収集されません。 |
✓ | ✕ この機能では、アプリ データは収集されません。 |
デバイス所有形態タイプ | 異常アラートのアクティビティ | アプリ コレクタ(管理対象外およびパブリックのアプリ) | 強迫的なアプリのダウンロード(管理対象外およびパブリックのアプリ) | 重大な CVE が過剰に発生している | 更新を怠ること | 持続的で重大な CVE | 希少アプリ コレクタ(管理対象外およびパブリックのアプリ) | リスクのある設定 | 通常とは異なるアプリのダウンロード(管理対象外およびパブリックのアプリ) |
---|---|---|---|---|---|---|---|---|---|
企業専用、企業共有、未定義 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
従業員所有 (BYOD) | ✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✓ | ✓ | ✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
リスク分析を使用するには、次のシステムを統合します。表示される制限に従ってください。
Workspace ONE Intelligence は、さまざまなダッシュボードでリスク スコアとその他のリスク データをレポートします。
リスク スコアには、カスタム ダッシュボードで使用できるモジュールがあります。モジュールにアクセスするには、カテゴリ [Workspace ONE UEM] > [デバイス リスク スコア] または [ユーザー リスク スコア] を使用します。
Workspace ONE Intelligence のワークフローを活用します。
Workspace ONE UEM は Workspace ONE Intelligence と連携して、リスク スコアを計算するために、お使いの Workspace ONE 環境で管理されているデバイスのデータを取得します。Workspace ONE UEM に保存されているユーザーの登録アカウントを使用して、管理対象デバイスでのユーザーのアクティビティを認識します。
リスク スコアの計算は毎日実行され、アクションの基となるメトリックを提供します。この情報により、セキュリティに関する挙動が貧弱で、組織にリスクをもたらす可能性のあるユーザーを特定し、分離することができます。
リスク スコアは、クレジット カードでのスコアリングと似ています。クレジット カードのスコアリング システムは、ユーザーのクレジット カードの口座をチェックして、現時点の残高を確認するわけではありません。リスク スコアは非同期的に機能します。デバイスの現在の状態を把握する必要はありません。これは 1 日に 1 回実行され、スコアリング プロセスが実行される時点までに報告された、デバイスについてのデータを分析します。スコアリング モデルでは、履歴データ(過去14日間など)を使用して、ユーザーの動作のリスクを判断します。
Workspace ONE Intelligence ログイン リスク スコアは、Workspace ONE Intelligence のリスク分析機能の一部ですが、現時点ではほかのリスク スコアと同じ要件には依存しません。システムは Workspace ONE Access データからこれらのスコアを作成して表示します。このデータは、アクセス ポリシーですぐに利用できる状態になっています。これらのスコアは、ユーザーのログイン場所から情報を取り込み、ユーザーの動作が異常かつ高いリスクを示す場合に報告を行うことができます。このモデルは、ユーザーのログイン パターンを学習します。従業員が別の都市に引っ越した場合など、長期的な行動変化が発生した場合は、モデルはその新しい都市からのログインを通常として認識するよう調整を行います。
Intelligence は、ほかのリスク スコアと同様に、各ログイン要求に対し、低、中、高のリスク スコアを割り当てます。機械学習モデルでは過去のログイン要求およびユーザーの位置情報を考慮し、その試行が悪意のあるものかまたは安全なものであるのかを判断し、スコアを決定します。このスコアはリアルタイムで更新されます。つまり、すべてのユーザーのログイン データは常に最新であること意味します。ログイン アクティビティの最初の月には、各ユーザーの通常のログイン パターンの確率を図る猶予期間が与えられます。システムがログイン パターンを確立する間、猶予期間ではログイン リスク スコアは低として返されます。
ログイン リスク スコアは、Workspace ONE Access やアクセス ポリシーのほか、2 つのシステムを統合している場合は Workspace ONE Intelligence でも使用できます。ワークフロー、ダッシュボード、ウィジェットで使用できます。