以下の検知ルールを用いて内部不正リスクを確認することにより、重要なファイル(お客様情報を含むファイルや社内の機密文書など)が持ち出される不審な持ち出し行動を早期に発見することができます。
可搬記憶媒体での持ち出し
業務時間外の可搬記憶媒体でのファイル持ち出し
社外サイトへのアップロード
業務時間外に社外Webサイトへファイルアップロード
業務時間外に社外FTPサイトへファイルアップロード
社外へのメール送信
業務時間外の添付ファイル付き社外宛てメール送信
ファイル操作ログ/ファイル持出しログを解析し、業務時間外に可搬記憶媒体(リムーバブル、ポータブルデバイス、イメージングデバイス)へファイルが持ち出されていないか確認します。
確認手順
内部不正リスク検出コマンドを実行します。
swdtk_iird -pattern export_file -o C:\temp\export_file.csv
リスク検出結果(CSV形式)を参照し、業務時間外に可搬記憶媒体へファイル持ち出し操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外の深夜帯に1件の可搬記憶媒体へのファイル持ち出し操作が行われていることが確認できます。
"時間帯","持ち出し操作件数" "18","3" ~省略~ "01","0" "02","1"
"03","0" ~省略~ "17","0"
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、業務時間外の深夜帯に行われた可搬記憶媒体へのファイル持ち出し操作の詳細を確認します。
以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)が業務時間外の深夜帯に可搬記憶媒体へファイル持ち出し操作を行っていることが確認できます。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" ~省略~ "PC-001","PC-001","2017/07/20 02:10:00","User001","PC-001","ファイル持出し","正規","","[C:\Users\admin\Desktop\顧客情報リスト.txt]を[D:\ 顧客情報リスト.txt]として…","…" ~省略~
出力順序
時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" "PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 18:10:00","User001","PC-001","…","…","","…","…" "PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","…","","…","…" "PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","…","","…","…"
Web操作ログ(アップロード)を解析し、業務時間外に社外Webサイトへファイルアップロードされていないか確認します。
確認手順
内部不正リスク検出コマンドを実行します。
swdtk_iird -pattern upload_web -o C:\temp\upload_web.csv
リスク検出結果(CSV形式)を参照し、業務時間外に社外Webサイトへファイルアップロード操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外である深夜帯に1件の社外Webサイトへのファイルアップロード操作が行われていることが確認できます。
"時間帯","アップロード操作件数" "18","0" ~省略~ "01","0" "02","1"
"03","0" ~省略~ "08","0" ~省略~ "17","0"
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、深夜帯に行われた社外Webサイトへのファイルアップロード操作の詳細を確認します。
以下の例では、クライアント(PC-001)のユーザー(User001)が業務時間外に社外Webサイトへのファイルアップロード操作を行っていることが確認できます。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" ~省略~ "PC-001","PC-001","2017/07/24 02:44:00","User001","PC-001","Webアップロード","正規","","[example.com]へのアップロード操作が…","…" ~省略~
出力順序
時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" "PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 18:10:00","User001","PC-001","…","…","","…","…" "PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","…","","…","…" "PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","…","","…","…"
ポイント
社内ドメインのWebアクセスを検出対象から除外する場合は、社内ドメインの情報(ドメインのURL)を、拡張定義ファイル(ExtendedDefinition.xml)に記述します。
拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。
FTP操作ログ(アップロード)を解析し、業務時間外に社外FTPサイトへファイルアップロードされていないか確認します。
確認手順
内部不正リスク検出コマンドを実行します。
swdtk_iird -pattern upload_ftp -o C:\temp\upload_ftp.csv
リスク検出結果(CSV形式)を参照し、業務時間外に社外FTPサイトへファイルアップロード操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外の深夜帯に1件の社外FTPサイトへのファイルアップロード操作が行われていることが確認できます。
"時間帯","アップロード操作件数" "18","0" ~省略~ "01","0" "02","1"
"03","0" ~省略~ "17","0"
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、業務時間外の深夜帯に行われた社外FTPサイトへのファイルアップロード操作の詳細を確認します。
以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)が業務時間外の深夜帯に社外FTPサイトへファイルアップロード操作を行っていることが確認できます。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" ~省略~ "PC-001","PC-001","2017/07/24 02:44:00","User001","PC-001","FTPアップロード","正規","","[example.com]へのアップロード操作が…","…" ~省略~
出力順序
時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" "PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 18:10:00","User001","PC-001","…","…","","…","…" "PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","…","","…","…" "PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","…","","…","…"
ポイント
社内ドメインのFTPアクセスを検出対象から除外する場合は、社内ドメインの情報(ドメインのURL)を拡張定義ファイル(ExtendedDefinition.xml)に記述します。
拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。
メール送信ログ(添付ファイル付き)を解析し、業務時間外に添付ファイル付き社外宛て(TO/CC/BCC)メール送信が行われていないか確認します。
確認手順
内部不正リスク検出コマンドを実行します。
swdtk_iird -pattern send_mail -o C:\temp\send_mail.csv
リスク検出結果(CSV形式)を参照し、業務時間外にメール送信操作が行われていないか確認します。
以下の例では、赤字の部分に着目します。業務時間外の深夜帯に1件のメール送信操作が行われていることが確認できます。
"時間帯","メール送信操作件数" "18","0" ~省略~ "01","0" "02","1"
"03","0" ~省略~ "17","0"
リスク検出結果のファイル名に「_log」が付加されている詳細ログファイル(CSV形式)を参照し、業務時間外の深夜帯に行われたメール送信操作の詳細を確認します。
以下の例では、赤字の部分に着目します。クライアント(PC-001)でユーザー(User001)が業務時間外の深夜帯にメール送信操作を行っていることが確認できます。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" ~省略~ "PC-001","PC-001","2017/07/24 02:44:00","User001","PC-001","メール送信","正規","","メール送信されました…","…" ~省略~
出力順序
時間帯ごとにコンピュータ名(昇順) → 発生日時(昇順)の順で出力します。
"コンピュータ名","名称","発生日時","ユーザー名","ドメイン名","種別","区分","付帯","内容","備考" "PC-001","PC-001","2017/07/27 18:00:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 18:10:00","User001","PC-001","…","…","","…","…" "PC-002","PC-002","2017/07/27 18:00:00","User002","PC-002","…","…","","…","…" "PC-001","PC-001","2017/07/27 19:20:00","User001","PC-001","…","…","","…","…" "PC-001","PC-001","2017/07/27 20:30:00","User001","PC-001","…","…","","…","…"
ポイント
社内宛てのメール送信を検出対象から除外する場合は、社内ドメインの情報(ドメインのURL)を拡張定義ファイル(ExtendedDefinition.xml)に記述します。
拡張定義ファイル(ExtendedDefinition.xml)の詳細については“リファレンスマニュアル”の“ファイルリファレンス”を参照してください。
