4.3.2 不審な持ち出し予兆行動を確認する

以下の検知ルールを用いて内部不正リスクを確認することにより、不審な持ち出しの予兆行動を早期に発見することができます。

ファイルサーバからPCへのファイル持ち込み
- 業務時間外のファイル持ち込み
外部デバイスの使用
- 未許可可搬記憶媒体の接続
- 未許可Bluetoothデバイスの接続
社外ネットワークへの接続
- 社外アクセスポイントへのWi-Fi接続
PC内部操作
- 業務時間外のログオン
- 違反操作の試行
外部サービスへのアクセス
- 社外ストレージサービスへのWebアクセス
ファイル印刷
- 業務時間外のファイル印刷

4.3.2.1 ファイルサーバからPCへのファイル持ち込み

4.3.2.1.1 業務時間外のファイル持ち込み

ファイル操作ログを解析し、業務時間外に共有ファイルサーバからPCへファイル持ち込み操作が行われていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern copy_file -o C:\temp\copy_file.csv
```
リスク検出結果(CSV形式)を参照し、業務時間外にファイル持ち込み操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外の深夜帯に1件のファイル持ち込み操作が行われていることが確認できます。
```
"時間帯","コピー操作件数"
"18","0"
～省略～
"01","0"
"02","1"
"03","0"
～省略～
"17","0"
```

リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、業務時間外の深夜帯に行われたファイル持ち込み操作の詳細を確認します。

以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)が業務時間外の深夜帯にファイル持ち込み操作(作成)が行われたことが確認できます。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/07/26 02:10:00","User001","PC-001","ファイル操作","正規","","操作：[作成]、ファイル名元：[\\xxx.xxx.xxx.xxx\work\顧客情報.xls]、ドライブ種別元：[リモート]、ファイル名先：[C:\work\test.xls]…","…"
～省略～

出力順序

時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
"PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 18:10:50","User001","PC-001","…","正規","","…","…"
"PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","正規","","…","…"
～省略～

4.3.2.2 外部デバイスの使用

4.3.2.2.1 未許可可搬記憶媒体の接続

デバイス構成変更ログを解析し、許可されていない可搬記憶媒体(リムーバブル、ポータブルデバイス、イメージングデバイス)が接続されていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern connect_dev -o C:\temp\connect_dev.csv
```
リスク検出結果(CSV形式)を参照し、許可されていない可搬記憶媒体の接続が行われていないか確認します。
以下の例では、許可されていない可搬記憶媒体("デバイス名：******** IC RECORDER USB Device、メーカーID：xxxx、製品ID：yyyy、シリアル番号：zzzzzzzzzzzz")の接続操作が5回行われていることが確認できます。
```
"デバイス名","メーカーID","製品ID","内部シリアル番号","接続操作件数"
"******** IC RECORDER USB Device","xxxx","yyyy","zzzzzzzzzzzz","5"
```
出力順序
接続操作件数の多い順で出力します。
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、許可されていない可搬記憶媒体の接続を行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。
以下の例では、クライアント(PC-001)でユーザー(User001)が許可されていない可搬記憶媒体の接続が行われたことが確認できます。
```
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/07/24 11:43:40","user001","PC-001","デバイス構成変更","正規","","[追加 F:リムーバブル] ","デバイス名：[******** RECORDER USB Device]、内部シリアル番号：[zzzzzzzzzzzz]、メーカーID：[xxxx]、製品ID：[yyyy]"
～省略～
```
出力順序
接続操作件数の多い順に、コンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

ポイント

許可されている可搬記憶媒体を検出対象から除外する場合は、リスク検出結果(CSV形式)に出力されている搬記憶媒体の情報(デバイス名)から、許可されている可搬記憶媒体の情報(デバイス名)を拡張定義ファイル(ExtendedDefinition.xml)に記述します。

拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。

4.3.2.2.2 未許可Bluetoothデバイスの接続

デバイス構成変更ログを解析し、許可されていないBluetoothデバイスが接続されていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern connect_bt -o C:\temp\connect_bt.csv
```
リスク検出結果(CSV形式)を参照し、許可されていないBluetoothデバイスの接続が行われていないか確認します。
以下の例では、許可されていないBluetoothデバイス("デバイス名：***-QY19、デバイス種別：オーディオ/ビデオ、MACアドレス：xx:xx:xx:xx:xx:xx")の接続操作が2回行われていることが確認できます。
```
"デバイス名","デバイス種別","MACアドレス","接続操作件数"
"***-QY19","オーディオ/ビデオ","xx:xx:xx:xx:xx:xx","2"
```
出力順序
接続操作件数の多い順で出力します。
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、許可されていないBluetoothデバイスの接続を行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。
以下の例では、クライアント(PC-001)でユーザー(User001)が許可されていないBluetoothデバイスの接続が行われたことが確認できます。
```
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/07/24 10:00:00","user001","PC-001","デバイス構成変更","正規","","[追加 Bluetooth接続]","デバイス名：[***-QY19]、デバイス種別：[オーディオ/ビデオ]、MACアドレス：[xx:xx:xx:xx:xx:xx]"
～省略～
```
出力順序
接続操作件数の多い順に、コンピュータ名(昇順)→発生日時(昇順)の順で出力します。

ポイント

許可されているBluetoothデバイスを検出対象から除外する場合は、リスク検出結果(CSV形式)に出力されているBluetoothデバイスの情報(デバイス名前、デバイス種別、MACアドレス)から、許可されているデバイス情報(デバイス名前、デバイス種別、MACアドレス)を拡張定義ファイル(ExtendedDefinition.xml)に記述します。

拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。

4.3.2.3 社外ネットワークへの接続

4.3.2.3.1 社外アクセスポイントへのWi-Fi接続

デバイス構成変更ログを解析し、社外アクセスポイントへWi-Fi接続されていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。

swdtk_iird -pattern connect_wifi -o C:\temp\connect_wifi.csv

リスク検出結果(CSV形式)を参照し、社外アクセスポイントへのWi-Fi接続が行われていないか確認します。
以下の例では、社外アクセスポイント(アクセスポイントSSID：yyyyy、アクセスポイントBSSID：xx:xx:xx:xx:xx:xx、DNSサーバIPアドレス：zzz.zzz.zzz.zzz)へのWi-Fi接続が2回行われていることが確認できます。
```
"アクセスポイントSSID","アクセスポイントBSSID","DNSサーバIPアドレス","接続操作件数"
"yyyyy","xx:xx:xx:xx:xx:xx","zzz.zzz.zzz.zzz","2"
```
出力順序
接続操作件数の多い順で出力します。
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、社外アクセスポイントへのWi-Fi接続を行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。
以下の例では、クライアント(PC-001)でユーザー(User001)が社外アクセスポイントへのWi-Fi接続を行ったことが確認できます。
```
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/07/24 16:28:00","user001","PC-001","デバイス構成変更","正規","","[追加 Wi-Fi接続] ","アクセスポイントBSSID:[xx:xx:xx:xx:xx:xx]、アクセスポイントSSID：[yyyyy]、DNSサーバIPアドレス：[zzz.zzz.zzz.zzz]"
～省略～
```
出力順序
接続操作件数の多い順に、コンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

ポイント

社内アクセスポイントを検出対象から除外する場合は、リスク検出結果(CSV形式)に出力されている社内アクセスポイントの情報(アクセスポイントSSID、アクセスポイントBSSID、DNSサーバのIPアドレス)を、拡張定義ファイル(ExtendedDefinition.xml)に記述します。

拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。

4.3.2.4 PC内部操作

4.3.2.4.1 業務時間外のPCログオン

ログオンログを解析し、業務時間外にPC操作が行われていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern logon -o C:\temp\logon.csv
```
リスク検出結果(CSV形式)を参照し、業務時間外にPC操作(ログオン)が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外に1件のPC操作(ログオン)が行われていることが確認できます。
```
"時間帯","ログオン操作件数"
"18","0"
～省略～
"01","0"
"02","1"
"03","0"
～省略～
"17","0"
```

リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、業務時間外にPC操作(ログオン)を行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。

以下の例では、クライアント(PC-001)でユーザー(User001)が業務時間外にPC操作(ログオン)を行ったことが確認できます。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
"PC-001","PC-001","2017/07/21 02:15:10","User001","PC-001","ログオン","正規","","ログオンしました…","…"

出力順序

時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
"PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 18:10:50","User001","PC-001","…","正規","","…","…"
"PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","正規","","…","…"
～省略～

4.3.2.4.2 違反操作の試行

禁止ログ、デバイス構成変更ログ(違反)を解析し、違反操作の試行が行われていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern violation -o C:\temp\violation.csv
```
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、違反操作の発生状況、違反操作を行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。
以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)による禁止されているアプリケーションの起動およびPrintScreenキー操作が行われたことが確認できます。
```
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
"PC-001","PC-001","2017/01/31 08:44:00","User001","PC-001","アプリケーション起動禁止","違反","","[xxx]の起動を[強制終了]…","…"
"PC-001","PC-001","2017/01/29 08:44:00","User001","PC-001","PrintScreenキー禁止","違反","","PrintScreenキーが押下…","…"
～省略～
```
出力順序
種別 → 発生日時(昇順)の順で出力します。

4.3.2.5 外部サービスへのアクセス

4.3.2.5.1 社外ストレージサービスへのWebアクセス

ウインドウタイトル取得ログ(URL付き)を解析し、社外ストレージサービスへのWebアクセスが行われていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。

swdtk_iird -pattern onlinestorage_web -o C:\temp\onlinestorage_web.csv

リスク検出結果(CSV形式)を参照し、社外ストレージサービスへのWebアクセスが行われていないか確認します。
以下の例では、赤字の部分に着目します。社外ストレージサービス(OneDrive,iCloud)へのWebアクセスが行われていることが確認できます。
```
"サイトドメイン","アクセス操作件数"
  ～省略～
"onedrive.live.com","10"
"icloud.com","5"
  ～省略～
```
出力順序
アクセス操作件数の多い順で出力します。

リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、社外ストレージサービスへのWebアクセスを行ったクライアント(CT)のコンピュータ名およびログオンユーザー名を確認します。

以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)が社外ストレージサービス(OneDrive,iCloud)へのWebアクセスを行ったことが確認できます。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/01/31 08:44:00","user001","PC-001","ウィンドウタイトル取得","正規","","[●●●]ウィンドウを検出しました。アプリ名：[OneDrive]","onedrive.live.com"
"PC-001","PC-001","2017/01/31 09:44:00","user001","PC-001","ウィンドウタイトル取得","正規","","[●●●]ウィンドウを検出しました。アプリ名：[OneDrive]","onedrive.live.com"
"PC-001","PC-001","2017/01/31 09:45:00","user001","PC-001","ウィンドウタイトル取得","正規","","[○○○]ウィンドウを検出しました。アプリ名：[iCloud]","icloud.com"
～省略～

出力順序

アクセス操作件数の多い順に、コンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

ポイント

社内ドメインのWebアクセスを検出対象から除外する場合は、社内ドメインの情報(ドメインのURL)を拡張定義ファイル(ExtendedDefinition.xml)に記述します。

拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。

4.3.2.6 ファイル印刷

4.3.2.6.1 業務時間外のファイル印刷

印刷操作ログを解析し、業務時間外に印刷操作が行われていないか確認します。

確認手順

内部不正リスク検出コマンドを実行します。
```
swdtk_iird -pattern print_file -o C:\temp\print_file.csv
```
リスク検出結果(CSV形式)を参照し、業務時間外に印刷操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外の深夜帯に1件の印刷操作が行われていることが確認できます。
```
"時間帯","印刷操作件数"
"18","0"
～省略～
"01","0"
"02","1"
"03","0"
～省略～
"17","0"
```

リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、深夜帯に行われた印刷操作の詳細を確認します。

以下の例では、クライアント(PC-001)のユーザー(User001)が業務時間外の深夜帯に印刷操作を行ったことが確認できます。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
～省略～
"PC-001","PC-001","2017/07/26 02:40:00","User001","PC-001","印刷操作","正規","","[情報.txt]が印刷されました…","…"
～省略～

出力順序

時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。

"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考"
"PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","正規","","…","…"
"PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 18:10:50","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","正規","","…","…"
"PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","正規","","…","…"
～省略～