【Netskope】【運用】Compromised Credentials 機能について整理した件

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。Netskopeの運用に役立つTipsをご紹介します。

Compromised Credentials機能とは？

Compromised Credentialsは、従業員が業務で利用するアカウント情報が、意図せず外部に漏洩していないかを確認できる機能です 。例えば、過去に発生したどこかのサービスからの情報漏洩により、自社の従業員のアカウント情報がダークウェブなどで不正に売買されていないかを検知します 。

まずはNetskope管理画面のIncidents > Compromised Credentials をご確認いただき、Users detected with compromised credentials、Domain Users、Non-Domain Users がそれぞれ 「0」であることを確認しましょう。

Netskopeはどのように侵害を検知するのか？監視対象の情報源について

Netskopeは、様々な情報源と連携し、漏洩した認証情報を広範囲にわたってチェックしています 。主な情報源は以下の通りです。

• Hacker dump sites
• Black market
• Hacktivist forums
• File sharing portals
• Data leaks
• Keylogger dumps
• Malware logs
  

検知タイミング

Netskope Clientがインストールされたデバイスから、ユーザーが様々なアプリケーションにログインする際、Netskopeはそのユーザー名をキャプチャします 。そして、その都度、既知のデータ侵害で公開された情報と照合し、一致するものがあればインシデントとして検知・通知する仕組みです 。

侵害が検知された場合の確認方法

侵害が検知されると、Incidents > Compromised Credentials のダッシュボードに詳細情報が表示されます 。（※コミュニティサイトNetskope社情報参考）

アラートには、以下の詳細情報が含まれます。

• USER：アラートがトリガーされたエンドユーザーの会社のメールアドレス
• MATCHED USER：侵害された認証情報に関連する個人などのメールアドレス 
• ACCESS METHOD：トラフィックの経路（例: Netskope Client）
• SOURCE OF INFO：漏洩情報の提供元 
• APPLICATION：ユーザーがアクセスし、検知のきっかけとなったアプリケーション
• ACTIVITY：検知のきっかけとなったユーザーの行動（例: login）
• INCIDENT ID：侵害された認証情報ID（トランザクションID）
• ACTIVITY TIME：ユーザーが、侵害された資格情報の検出をトリガーしたアクティビティを実行した日時
• DATE COMPROMISED：漏洩したデータベースが公開された日付
• TIMESTAMP：該当アドレスの使用タイムスタンプ

また、Skope IT > Alerts 上でも Alert Type：Compromised Credential のフィルタを適用することでも、同様に検知内容を確認できます 。

（上記画像は Netskope document > Compromised Credentialsより）

侵害が見つかった場合の対処と対策

対処（緊急対処）

企業ドメインのアカウントで侵害アラートが検知された場合は、直ちに対策を講じる必要があります 。

１．該当ユーザーに速やかに連絡を取ります。

２．侵害が確認されたアカウントのパスワードを直ちに更新するよう依頼し、実施してもらいます 。

企業ドメイン以外（個人のメールアドレスなど）のアラートは、企業としての緊急対応の優先度は低いと考えられますが、状況に応じてユーザーへの注意喚起を検討しましょう 。

予防策（対策）

同様のインシデントを防ぐために、以下の対策を組織全体で実施することが重要です。

• 業務用メールアドレスの私的利用を禁止する：承認されていない、あるいは業務外のアプリケーションに企業ドメインのメールアドレスで登録しないよう、従業員への周知を徹底します 。
• 多要素認証 (MFA) を必須にする：すべてのビジネスアプリケーションでMFAを有効化し、万が一パスワードが漏洩しても不正アクセスを防げるようにします 。
• 定期的なパスワード更新ポリシーを適用する：定期的にパスワードを変更するポリシーを実装し、漏洩した認証情報が長期間悪用されるリスクを低減します 。

検知後のメール通知設定

Compromised Credentials機能でインシデントを検知しても、自動でメール通知は送信されません 。通知を行うには以下の手動操作が必要です。

１．Incidents > Compromised Credentials のリストから、通知したいユーザーの行末にある「...」をクリックします 。

２．「Send an email notification」を選択してメールを送信します 。

（上記画像は Netskope document > Compromised Credentialsより）

通知テンプレートの編集

送信するメールの内容は、事前にカスタマイズできます。

Compromised Credentials > EDIT EMAIL NOTIFICATION TEMPLATE をクリックすると編集画面が開きます 。

※ここで、通知先（ユーザー本人、特定の管理者、全管理者など）や件名、本文を自由に設定できます 。

検出設定

Detection Settings から「Restrict detection to requested domains only」を有効にすることで、監視対象を自社のドメインなどに限定できます 。これにより、社用アカウントに関連するインシデントのみを追跡できます 。

侵害情報のデータベースの更新頻度

Netskopeの侵害された認証情報データベースは毎日更新されます 。そのため、新たな侵害情報が公開された場合、通常は2日以内に検知が可能です。

利用に必要ライセンス 

Netskope UEBA/UBA ライセンスが必要となります。詳細については、弊社までお問い合わせください。

参考

• Compromised Credentials
• Netskope Global Technical Success (GTS) UEBA: Compromised Credentials - General Q/A
• Netskope Global Technical Success (GTS) UEBA: Compromised Credential Incident Analysis

さいごに

今回は、NetskopeのCompromised Credentials機能について解説しました。この機能を活用することで、認証情報の漏洩という重大なセキュリティリスクを早期に発見し迅速に対応できます。ぜひ Incidents > Compromised Credentials の画面を定期的に確認し、組織のセキュリティ強化にお役立てください。 

この記事が、皆さまのNetskope運用の一助となれば幸いです。

Netskope についてのお問い合わせ

Netskope の導入や実践的な活用方法についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。