Hello there, ('ω')ノ
サイバー攻撃の多くは、通常のシステム動作に紛れ込む形で進行するため、従来の手法では検知が難しくなっています。そのため、「いつもと違う動き(異常)」をいち早く察知する仕組みが求められます。
NISTサイバーセキュリティフレームワーク(NIST CSF)の「検知(Detect)」機能の中でも、ベースライン(Baseline)の設定は、異常な行動を特定するための重要な要素です。ベースラインとは、「正常な状態」を定義し、それを基準として異常を検出する手法です。
なぜベースライン設定が重要なのか?
1. 攻撃者は「通常の動作」に紛れて活動する
✅ サイバー攻撃は、目立つ形で行われることはほとんどない
✅ 通常のログイン、ファイルアクセス、データ転送に見せかけて侵入を試みる
🚨 事例:不正アクセスに気づかなかったケース
ある企業では、攻撃者が従業員のアカウントを乗っ取り、数週間にわたり機密データを少しずつ外部に送信していた。しかし、普段からデータ転送が行われていたため、異常として検知されず、被害が拡大した。
💡 「通常のデータ転送量」が把握できていれば、異常として検知できた可能性が高い!
2. 事前に「正常な動作」を把握することで、異常を自動検知できる
✅ ベースラインを設定することで、システムやユーザーの「正常な状態」を明確に定義
✅ 普段と異なる挙動が発生した際に、即座に異常を検知し、アラートを発生させる
🚨 例:ベースライン設定が有効だったケース
ある企業では、「通常の業務時間外(深夜や休日)のログインはほとんどない」というベースラインを設定していた。ある日、深夜に海外IPからVPN接続が試みられたため、自動的にアラートが発生。
👉 迅速な対応により、攻撃者の侵入を未然に防ぐことができた!
💡 普段の動きをベースラインとして設定することで、「異常」が明確になり、すぐに検知できる!
ベースラインの設定方法(3つのステップ)
① 監視対象の決定 – どのデータを基準とするか?
まず、「どのデータを基準にベースラインを設定するか」を決めます。以下のような要素が対象となります。
✅ ログインの頻度・時間帯(通常の業務時間外のログインは異常とみなす)
✅ ネットワークの通信量(通常のデータ転送量を超えた場合は異常)
✅ アカウントのアクセス権限(通常の役職と異なる操作をした場合は異常)
✅ システム設定の変更頻度(ファイアウォール設定の変更が頻繁に行われた場合は異常)
🚀 具体例
