異常検知の概要

異常検知の概要

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

アイデンティティおよびアクセス管理やその他の形態の顧客データを扱う組織は、データセキュリティが決して損なわれないようにする必要があります。Zoho One では、組織の担当者や管理者が、アプリケーション内で発生する異常な活動を監視できます。これらの異常な活動は「異常」としてラベル付けされ、Anomaly Detectionタブに一覧表示されます。

Anomaly Detection タブ全体で使用されるいくつかの用語について、以下で説明します。
  1. Anomaly(異常)または異常な活動:アプリケーション内で発生する、あらゆる種類の通常とは異なる活動を指します。異常なデバイス/OS/IP アドレス/場所からのログイン、異常な時間帯でのログイン、異常な場所または時間帯でのユーザー詳細の変更などは、異常な活動としてマークされる代表的な例です。
  2. 異常なデバイス:通常とは異なるデバイスから行われたセッションおよび関連する活動は、「異常なデバイス」に基づく異常としてラベル付けされます。
  3. 異常なブラウザー:通常とは異なるブラウザーから行われたセッションおよび関連する活動は、「異常なブラウザー」に基づく異常としてマークされます。
  4. 異常な IP アドレス:通常とは異なる IP アドレスから行われたセッションおよび関連する活動は、「異常な IP アドレス」に基づく異常としてラベル付けされます。
  5. 異常な場所:通常とは異なる場所から行われたセッションおよび関連する活動は、「異常な場所」に基づく異常としてラベル付けされます。
  6. 異常な時間:通常とは異なる時間帯に行われたセッションは、「異常な時間」に基づく異常としてラベル付けされます。
  7. Actor(実行ユーザー):異常な活動を実行したユーザーを指します。管理者ユーザーと一般ユーザーのどちらも、異常の実行ユーザーになり得ます。
  8. Target(対象ユーザー):その活動によって影響を受けたユーザーを指します。例えば、管理者がユーザーのパスワードをリセットした場合、その操作を行った管理者が実行ユーザーであり、パスワードをリセットされたユーザーが対象ユーザーです。

Anomaly Detectionタブには、「ダッシュボード」と「Anomalies」の 2 つのタブがあります。

ダッシュボード

ダッシュボードでは、異常が検出されるパターンの概要を確認できます。これにより、さまざまな観点から異常を評価し、必要に応じて組織のセキュリティ運用を見直すことができます。

以下では、ダッシュボードで利用できる各ウィジェットについて説明します。各ウィジェットには、今日、昨日、過去 7 日間、過去 30 日間、今月、先月、特定の日付、またはカスタム範囲など、特定の期間に基づいてデータを表示するためのフィルターがあります。
  1. 件数別の異常:選択した期間において、1 日あたりに検出された異常の件数を表示します。
  2. 種類別の異常:選択した期間において、検出数が多い上位 5 種類の異常を表示します。
  3. 実行ユーザー別の異常:選択した期間における異常の件数を、対応する実行ユーザーごとに表示します。
  4. 影響度別の異常:選択した期間における異常を、組織のセキュリティへの影響度ごとに表示します。

Anomalies

Anomaliesタブでは、アプリケーションで検出された異常を表示し、対応(解決)できます。一覧には、実行ユーザーのメールアドレス、ログインの詳細、活動の詳細、その活動が異常と判断された理由などの情報が表示されます。セキュリティ上の理由から、管理者ユーザーは、スーパー管理者が実行した異常な活動や、自分自身のアカウントによる異常な活動を解決することはできません。

異常に対しては、次のいずれかの方法で対応を選択できます。
  1. 異常としてマークされた活動が自分自身によるものであり、セキュリティ上の問題がないと判断できる場合は、その活動を異常ではないと設定できます。
  2. 活動の詳細に不審な点がある場合、またはその活動が本来の実行ユーザーによるものではないと判明した場合は、一時的にアプリケーションへのアクセスを制限するために実行ユーザーを無効化するか、情報漏えいを防ぐために実行ユーザーのパスワードをリセットすることを選択できます。