リスク評価の管理

EPMには、ポリシーコントロールが適用される前にアクションに数値リスクスコアを割り当てるマルチシグナルリスク評価システムが含まれています。ポリシーはリスクスコアを追加条件として利用できます。例えば、リスクスコアが閾値を超える場合のみMFAを要求する、またはスコアが極めて高いアクションを自動的に拒否する、といった運用が可能です。

本ページでは、リスクスコアの算出方法、各シグナルの測定内容、リスク評価ジョブの構成方法、ポリシーでのリスクスコアの利用方法を取り扱います。

リスクスコアリングの仕組み

特権昇格またはファイルアクセスリクエストが評価されると、リスク評価システムは4つの独立したシグナルから合成リスクスコア (0.0–10.0) を算出します。

シグナル

デフォルト重み

測定内容

ファイル (アプリケーション) リスク

40%

実行対象ファイルが脅威インテリジェンス上、既知・署名済み・クリーンかどうか

場所リスク

30%

ファイルが高リスクパス (ユーザー書き込み可能) から実行されているか、低リスクパス (システムディレクトリ) からか

ユーザーリスク

15%

リクエストユーザーが標準ユーザーか、管理権限を持つか

マシンリスク

15%

マシンにアクティブなアンチウイルスソフトウェアがインストールされているか

合成スコアは加重平均として算出されます。

Composite = (File × 0.40) + (Location × 0.30) + (User × 0.15) + (Machine × 0.15)

スコアの解釈

スコア範囲

リスクレベル

典型的なポリシー応答

0.0 – 3.0

低

許可

3.1 – 6.0

中

正当な理由またはMFAを要求

6.1 – 8.0

高

承認を要求

8.1 – 10.0

非常に高

拒否

これらの閾値はデフォルトです。正確な閾値と応答はポリシーで構成します。

リスクシグナルの詳細

ファイルリスクは実行対象のバイナリを調べます。既知の発行元からの署名済み実行可能ファイルでは、スコアは通常低く (1.0–2.0) なります。署名のない実行可能ファイル、署名のないスクリプト、または統合脅威インテリジェンスベンダーから脅威判定が返されたファイルでは、スコアは8.0–10.0に近づきます。脅威インテリジェンスベンダーが構成されていない場合、ファイルリスクはコード署名検証のみに基づきます。

場所リスクはファイルシステム上のファイルの所在を評価します。システムディレクトリ (C:\Windows\System32、/usr/bin、/Applications) 内のファイルは低スコアを受け取ります。ユーザーのダウンロードフォルダ、Tempディレクトリ、デスクトップなど、ユーザー書き込み可能な場所から実行されるファイルは、ファイルの内容に関わらず高スコアを受け取ります。このシグナルは、最も一般的なマルウェア配布パターン (ユーザーが実行可能ファイルをダウンロードして実行) を、脅威インテリジェンス統合なしで検知します。

場所リスクは location-risk-assessment.json ジョブファイル内のパスマッピングで構成されます。デフォルトマッピングは、Windows、macOS、Linux上の最も一般的なリスク場所をカバーします。

ユーザーリスクはデフォルト構成では二値です。標準ユーザーは低スコア (1.0)、管理ユーザーは高スコア (7.0) を受け取ります。管理者がさらに昇格するイベントは、標準ユーザーが初めて昇格をリクエストする場合より高リスクだからです。スコアは構成可能です。

マシンリスクは、マシンにアンチウイルスソフトウェアが存在するかを確認します。アクティブなAVがあるマシンは低スコア (1.0)、検出可能なAVがないマシンは高スコア (8.0) を受け取ります。判定が不明確な場合は中スコア (5.0) が使用されます。検出はプロセス検査、パッケージマネージャー確認、サービス列挙を使用し、特定のAV製品との統合は不要です。

リスク評価ジョブファイル

リスク評価は Jobs/ ディレクトリ内の一連のジョブ実行可能ファイルとして実装されています。標準的なKEPMインストールには、以下のジョブファイルが含まれます。

ジョブファイル

目的

file-risk-assessment.json

ファイル整合性と脅威インテリジェンスを評価

location-risk-assessment.json

ファイルパスをリスクレベルにマッピング

user-risk-assessment.json

ユーザー特権レベルを評価

machine-risk-assessment.json

アクティブなアンチウイルスの有無を確認

composite-risk-evaluation.json

4つのシグナルを統合し、合成スコアを算出

場所リスクマッピングの構成

場所リスクジョブは、パスパターンをリスクスコアにマッピングします。デフォルト構成は、すべてのプラットフォーム上の標準的なシステムパスとユーザーパスをカバーします。場所マッピングを追加または変更するには、Jobs/location-risk-assessment.json を編集します。

json

{
  "id": "location-risk-assessment",
  "settings": {
    "locationMappings": [
      { "path": "{downloads}", "riskScore": 8.0, "locationType": "UserDownloads" },
      { "path": "{temp}",      "riskScore": 8.0, "locationType": "TempDirectory" },
      { "path": "{desktop}",   "riskScore": 7.0, "locationType": "UserDesktop" },
      { "path": "{system32}",  "riskScore": 1.0, "locationType": "SystemDirectory" },
      { "path": "{windows}",   "riskScore": 1.0, "locationType": "SystemDirectory" }
    ],
    "defaultRiskScore": 5.0
  }
}

パス値はパス変数を利用できます。ユーザー固有のパス ({downloads} など) は、任意のユーザーのフォルダに自動的に展開されるため、ユーザーごとに別エントリは不要です。defaultRiskScore は、ファイルパスが構成済みマッピングのいずれにも一致しない場合に適用されます。

スコア重みの構成

各シグナルの重み付けを変更するには、composite-risk-evaluation.json ジョブファイルを編集します。

json

{
  "id": "composite-risk-evaluation",
  "settings": {
    "riskScoreWeights": {
      "applicationWeight": 0.40,
      "locationWeight":    0.30,
      "userWeight":        0.15,
      "machineWeight":     0.15
    }
  }
}

重みの合計は1.0である必要があります。合計が1.0でなくてもシステムが自動正規化しますが、明示的に正しい値を設定する方が分かりやすくなります。変更は、サービスがジョブ構成を再読み込みした後に有効になります。

ポリシーでのリスクスコアの利用

ポリシーは2つの方法でリスクスコアを参照できます。

RiskLevelフィルター: RiskLevel フィルターを持つポリシーは、リスクスコアが設定レベル以上のリクエストにのみ一致します。同じアプリケーションに対して、リクエストのリスク度合いに応じて異なるコントロールを適用できます。

json

{
  "Extension": {
    "RiskLevel": 6.0
  },
  "Actions": {
    "OnSuccess": {
      "Controls": ["APPROVAL"]
    }
  }
}

このポリシーは合成リスクスコアが6.0以上の場合にのみ適用され、高リスクアクションには承認を要求し、低リスクアクションは他のポリシーで管理されます。

TargetRiskScoreカスタムフィルター: 拡張に TargetRiskScore を持つポリシーは、ポリシー評価時に完全な合成リスク評価パイプラインをトリガーし、合成スコアがターゲット以下の場合にのみ通過します。真に低リスクのリクエストにのみ適用すべき許可ポリシーに有用です。

json

{
  "Extension": {
    "TargetRiskScore": 3.0
  },
  "Actions": {
    "OnSuccess": {
      "Controls": ["ALLOW"]
    }
  }
}

このポリシーは、4つのリスクシグナルが合成スコア3.0以下に組み合わさる場合にのみ、アクションを自動的に許可します。

脅威インテリジェンスベンダーとの統合

ファイルリスク評価では、外部脅威インテリジェンスAPIとのオプション統合が利用できます。ベンダーが構成されている場合、KEPMはファイルハッシュをベンダーAPIに送信し、脅威判定をファイルリスクスコアに組み込みます。

対応統合: ReversingLabs、VirusTotal

ベンダー統合は Jobs/file-risk-assessment.json で構成します。構成の詳細とAPI認証情報の要件についてはKeeperにお問い合わせください。

監査ログにおけるリスクスコア

すべての合成リスク評価は、合成スコアと各シグナルの寄与を含む監査イベントを生成します。これらのイベントは、管理コンソールのイベントログで AgentRiskScoreComputed を検索してフィルタリングできます。イベントレコードには以下が含まれます。

合成スコア
シグナルごとのスコアと重み
リスクレベル帯 (低 / 中 / 高 / 非常に高)
評価がポリシーのターゲット閾値を通過したか失敗したか

最終更新 7 日前