リスク スコア(Workspace ONE Intelligence リスク分析)
Workspace ONE Intelligence を使用して、収集データを表示し、スコアを使用してリスクを特定します。Workspace ONE Intelligence リスク分析機能は、ユーザーやデバイスのアクションや振る舞いを追跡し、その潜在的リスクを計算する機能です。この機能により、リスク レベルなどのメタデータとともに潜在的リスクが提示されるため、お客様の Workspace ONE UEM 環境の脆弱性を素早く測定することができます。Workspace ONE Access からログイン リスク スコアを確認することもできます。これらのスコアは、ユーザーのログイン場所から情報を取り込み、ユーザーの動作が異常かつ高いリスクを示す場合に報告を行えます。
リスク スコアとは
Workspace ONE Intelligence におけるリスク スコアは、ユーザーおよびデバイスのアクションと動作を追跡するリスク分析機能です。スコアをレベルとして表示するので、信頼プロセスを高速化します。一定のレベルであればユーザーまたはデバイスを信頼できますが、直ちに緩和策が必要なレベルもあります。リスク スコアは、ベースラインまたは「通常」レベルのリスクで開始されます。ユーザーまたはデバイスの挙動が通常のものから逸脱した場合、スコア機能はその逸脱を識別して高、中、低と評価します。
- 高 - このスコアは、ネットワークと内部リソースに脅威と脆弱性をもたらす可能性が高いことを示しています。信頼性が最も低いレベルです。
- 中 - このスコアは、ネットワークと内部リソースに脅威と脆弱性をもたらす中程度の可能性があることを示しています。
- 低 - このスコアは、ネットワークと内部リソースに脅威や脆弱性が持ち込まれる可能性がほとんどないことを示します。信頼性が最も高いレベルです。
スコアと組織のセキュリティ ポリシーに基づいて、さまざまなアクションに対応することができます。たとえば、受容度が大きいセキュリティ ポリシーを持つ組織では、リスク スコアが高い場合にユーザーに警告を表示します。一方、セキュリティ ポリシーが厳しい組織では、中程度のリスク スコアでも権限を拒否することがあります。リスク スコアへの対応方法としては、以下のリストの方法もあります。
- デバイスまたはユーザーを監視します。
- 通知を使用してデバイスまたはユーザーに警告します。
- デバイスまたはユーザーの権限を拒否します。
- Workspace ONE Access 統合を使用して、ユーザーまたはデバイスに認証方法を追加します。
リスク スコアに影響を与える挙動としてはどのようなものがありますか。
リスク スコアは、デバイスまたはユーザーの挙動としてシステムが識別した内容によって変わります。これらの挙動はリスク インジケータとも呼ばれます。ポジティブな挙動は、スコアを低くする、つまり信頼性を高くします。ネガティブな挙動は、スコアを高くする、つまり信頼性を低くします。システムは、リスク スコアの元となる挙動を計算する際、いくつかのリスク インジケータを認識して集約します。
識別された動作
| リスク インジケータ | 説明 | リスク |
|---|---|---|
| 異常アラートのアクティビティ | 異常な数、タイプ、または重要度のセキュリティ アラートが生成されるデバイス。 | 異常な数、タイプ、重要度の脅威アラートは、侵害されている可能性があるデバイスを示しています。 |
| アプリ コレクタ | 非常に多くのアプリをインストールするユーザー。 | どのアプリにも既知のまたは未パッチの脆弱性が含まれている可能性があり、これらの脆弱性は攻撃ベクトルとなる可能性があります。サイバー攻撃の対象となる領域は、デバイス上のアプリの数とともに増加します。 |
| 強迫的なアプリのダウンロード行動 | 短期間に異常な数のアプリケーションをインストールするユーザー。 | 自分のデバイスに一般的でないアプリを異常なペースでインストールするユーザーには、悪意あるアクティビティの被害者となる高いリスクが伴います。アプリケーションによっては、自らが役に立ち、わかりやすく、または楽しいものであるかのように偽装していながら、実際にはユーザーに害を与えます。安全でないコンテンツ(マルウェア)のフィルタリングに関するマーケットプレイスのアプローチは、ベンダーによって異なります。不注意なユーザーは、追跡、ハッキング、または詐欺に遭う可能性があります。 |
| 重大な CVE が過剰に発生している | パッチが適用されていない重大な CVE(共通脆弱性識別子)が過剰に発生しているデバイス。 | デバイスに存在する重大な CVE の数が多いほど、デバイスの攻撃対象領域が大きくなります。 |
| 更新を怠ること | デバイス OS の更新をほとんど行わない、あるいは行うことを完全に拒否するユーザーがいます。 | ソフトウェアの更新を無視すると、デバイスは攻撃に対して脆弱になり、セキュリティ侵害のリスクが高まります。 |
| 持続的で重大な CVE | 組織内の対象デバイスの大部分にパッチが適用された後、1 つまたは複数の重大な CVE(共通脆弱性識別子)がパッチ適用されていないデバイス。 | デバイスに存在する重大な CVE の数が多いほど、デバイスの攻撃対象領域が大きくなります。 |
| 希少アプリ コレクタ | 珍しいアプリケーションを多数インストールするユーザー。 | 一般的に使用されているアプリとは異なり、珍しいアプリは出所が怪しく、マルウェアが仕込まれていたり、セキュリティ上の脆弱性を抱えている可能性が高くなります。 |
| リスクのあるセキュリティ設定 | 1 台または複数のデバイスを所有し、明示的にセキュリティ保護機能を無効にしているか、明示的にデバイスの紛失を宣言したユーザー。 | デバイスのセキュリティ対策を無効にすると、セキュリティ侵害のリスクが高まります。 |
| 通常とは異なるアプリのダウンロード | 最近、通常とは異なるアプリをインストールしたユーザーです。 | アプリは、自らが役に立ち、わかりやすく、または楽しいものであるかのように偽装していながら、実際にはユーザーに害を与えることがあります。安全でないコンテンツ(マルウェア)のフィルタリングに関するマーケットプレイスのアプローチは、ベンダーによって異なります。不注意なユーザーは、追跡、ハッキング、または詐欺に遭う可能性があります。 |
リスク スコアはどのような種類のデバイスで動作していますか。
リスク スコアは、Android、iOS、macOS、および Windows プラットフォームで動作します。また、企業専用デバイス、企業共有デバイス、従業員所有 (BYOD) デバイス、または未定義として分類されたデバイスでも機能します。
プラットフォーム別のリスク インジケータの対応状況
| デバイス プラットフォーム | 異常アラートのアクティビティ | アプリ コレクタ(管理対象外およびパブリックのアプリ) | 強迫的なアプリのダウンロード(管理対象外およびパブリックのアプリ) | 重大な CVE が過剰に発生している | 更新を怠ること | 持続的で重大な CVE | 希少アプリ コレクタ(管理対象外およびパブリックのアプリ) | リスクのある設定 | 通常とは異なるアプリのダウンロード(管理対象外およびパブリックのアプリ) |
|---|---|---|---|---|---|---|---|---|---|
| モバイル(iOS および Android) | ✕ | ✓ | ✓ | ✕ | ✓ | ✕ | ✓ | ✓ | ✓ |
| デスクトップ(Windows および macOS) | ✓ | ✕ この機能では、アプリ データは収集されません。 |
✕ この機能では、アプリ データは収集されません。 |
✓(Windows のみ) | ✓ | ✓(Windows のみ) | ✕ この機能では、アプリ データは収集されません。 |
✓ | ✕ この機能では、アプリ データは収集されません。 |
デバイス所有形態タイプ別のリスク インジケータの対応状況
| デバイス所有形態タイプ | 異常アラートのアクティビティ | アプリ コレクタ(管理対象外およびパブリックのアプリ) | 強迫的なアプリのダウンロード(管理対象外およびパブリックのアプリ) | 重大な CVE が過剰に発生している | 更新を怠ること | 持続的で重大な CVE | 希少アプリ コレクタ(管理対象外およびパブリックのアプリ) | リスクのある設定 | 通常とは異なるアプリのダウンロード(管理対象外およびパブリックのアプリ) |
|---|---|---|---|---|---|---|---|---|---|
| 企業専用、企業共有、未定義 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 従業員所有 (BYOD) | ✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✓ | ✓ | ✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
✓ | ✕ デフォルトの Workspace ONE UEM のプライバシー設定では、BYOD デバイスでのアプリ データの収集は禁止されていますが、管理者はプライバシー設定を変更して、Workspace ONE Intelligence がアプリデータを収集できるようにすることができます。Workspace ONE UEM でプライバシー設定を変更する前に、組織のプライバシー戦略を確認してください。 |
リスク スコアを確認するには、どのような要件がありますか。
リスク分析を使用するには、次のシステムを統合します。表示される制限に従ってください。
- Workspace ONE UEM を登録します。
- Workspace ONE Intelligence のリスクスコアを表示するには、Workspace ONE UEM 管理対象の各デバイスに、Workspace ONE UEM console での固有のアカウントが必要です。複数のデバイスに割り当てられている汎用アカウントは使用できません。
- 同じプラットフォームで 100 台以上のデバイスを展開している場合には、スコアリング システムで結果を生成できます。リスク インジケータは、デバイスのインジケータを組織のデバイス全体を基準に比較します。統計的に重要なスコアを指定するには、同じプラットフォームの少なくとも 100 台のデバイスを含むデータセットが必要です。
- ユーザーが同じアカウントを使用して加入したデバイスは 6 台以下である必要があります。システムは、6 台より多くの以上のデバイスを持つユーザーがいると、共有デバイス環境の一部であると見なします。システムが共有環境でのユーザーとデバイスのリスクを正確に測定することは困難です。
- 必要であれば Workspace ONE Access 登録して、ユーザーのリスク スコアに応じて Workspace ONE Access でのアクセス ポリシーを設定できるようにします。
- 異常アラート アクティビティ リスク インジケータを使用するには、次の要件を満たしている必要があります。
- クラウド ネイティブのエンドポイント保護プラットフォーム (EPP) として、Carbon Black エンドポイント標準を使用します。
- 信頼ネットワークの API を使用して、Workspace ONE Intelligence に Carbon Black のデータを取り込みます。
コンソールがリスク スコアを表示する場所
Workspace ONE Intelligence は、さまざまなダッシュボードでリスク スコアとその他のリスク データをレポートします。
- ユーザーのリスク データは、[ワークスペース] > [ワークプレース セキュリティ] > [ユーザー リスク] ダッシュボードにあります。
- デバイス リスク データは、[ワークスペース] > [ワークプレース セキュリティ] > [セキュリティ リスク] ダッシュボードにあります。
リスク スコアには、カスタム ダッシュボードで使用できるモジュールがあります。モジュールにアクセスするには、カテゴリ [Workspace ONE UEM] > [デバイス リスク スコア] または [ユーザー リスク スコア] を使用します。
リスク スコアにどう対応したらよいですか。
Workspace ONE Intelligence のワークフローを活用します。
- [自動化] を選択すると、緩和して対応できます。これは [ユーザー リスク] ダッシュボードまたは [セキュリティ リスク] ダッシュボードの右側にあります。ワークフローを作成し、さまざまな Workspace ONE UEM アクションから選択します。
- [Workspace ONE UEM] カテゴリを使用してカスタマイズされたワークフローを作成できます。その場合、[デバイスのリスク スコア] または [ユーザーのリスク スコア] を使用します。
- 事前構成済みのワークフロー テンプレートが使用できます。
- リスクのあるデバイスが検出されました - このテンプレートには、Slack 接続が必要です。
- MTD アプリ展開の優先順位付け
- Laggard デバイスの更新 - このテンプレートは iOS でのみ機能します。
- Workspace ONE Access のアクセス ポリシーを使用して、リソースへのアクセスを管理します。
- Workspace ONE Access 環境を Workspace ONE Intelligence に登録して、Workspace ONE Access manager console のリスクスコアにアクセスします。
- Workspace ONE Access のアクセス ポリシーは、If-Then 構文を使用するユーザー用に認証プロトコルを作成して、実施します。If セクションではユーザーのリスク スコアを指定します。これは Then セクションで許可される認証方法を決定します。ユーザーのリスク レベルが高、中、低の場合、ユーザーはそれに対応する組織のセキュリティ ポリシーによって承認された指定の方法を使用し、リソースに認証できます。
- ユーザーのリスク レベルに応じ、システムは、高リスクのユーザーには厳しい制限のアクセス ポリシーを適用して、内部リソースのセキュリティを高めることができます。逆に、低リスクまたは中リスクのユーザーには、ゆるい制限のアクセス ポリシーを適用できます。
リスク スコアのためのデータはどのシステムから得られますか。
Workspace ONE UEM は Workspace ONE Intelligence と連携して、リスク スコアを計算するために、お使いの Workspace ONE 環境で管理されているデバイスのデータを取得します。Workspace ONE UEM に保存されているユーザーの登録アカウントを使用して、管理対象デバイスでのユーザーのアクティビティを認識します。
スコアはどのくらいの頻度で計算されますか。
リスク スコアの計算は毎日実行され、アクションの基となるメトリックを提供します。この情報により、セキュリティに関する挙動が貧弱で、組織にリスクをもたらす可能性のあるユーザーを特定し、分離することができます。
リスク スコアは、クレジット カードでのスコアリングと似ています。クレジット カードのスコアリング システムは、ユーザーのクレジット カードの口座をチェックして、現時点の残高を確認するわけではありません。リスク スコアは非同期的に機能します。デバイスの現在の状態を把握する必要はありません。これは 1 日に 1 回実行され、スコアリング プロセスが実行される時点までに報告された、デバイスについてのデータを分析します。スコアリング モデルでは、履歴データ(過去14日間など)を使用して、ユーザーの動作のリスクを判断します。
ログイン リスク スコアとは
Workspace ONE Intelligence ログイン リスク スコアは、Workspace ONE Intelligence のリスク分析機能の一部ですが、現時点ではほかのリスク スコアと同じ要件には依存しません。システムは Workspace ONE Access データからこれらのスコアを作成して表示します。このデータは、アクセス ポリシーですぐに利用できる状態になっています。これらのスコアは、ユーザーのログイン場所から情報を取り込み、ユーザーの動作が異常かつ高いリスクを示す場合に報告を行うことができます。このモデルは、ユーザーのログイン パターンを学習します。従業員が別の都市に引っ越した場合など、長期的な行動変化が発生した場合は、モデルはその新しい都市からのログインを通常として認識するよう調整を行います。
ログイン リスク スコアとは
Intelligence は、ほかのリスク スコアと同様に、各ログイン要求に対し、低、中、高のリスク スコアを割り当てます。機械学習モデルでは過去のログイン要求およびユーザーの位置情報を考慮し、その試行が悪意のあるものかまたは安全なものであるのかを判断し、スコアを決定します。このスコアはリアルタイムで更新されます。つまり、すべてのユーザーのログイン データは常に最新であること意味します。ログイン アクティビティの最初の月には、各ユーザーの通常のログイン パターンの確率を図る猶予期間が与えられます。システムがログイン パターンを確立する間、猶予期間ではログイン リスク スコアは低として返されます。
ログイン リスク スコアへのアクセス方法
ログイン リスク スコアは、Workspace ONE Access やアクセス ポリシーのほか、2 つのシステムを統合している場合は Workspace ONE Intelligence でも使用できます。ワークフロー、ダッシュボード、ウィジェットで使用できます。
