お役立ち資料
Introduction
UEBAとは、ユーザーの行動に高度な分析を適用して、異常な行動を検知してセキュリティを高めるツールのことです。この記事では、UEBAとは何か、その仕組みや対処できる脅威・インシデント、導入にあたっての注意点について解説します。
目次
UEBAとは?
UEBA「User and Entity Behavior Analytics」は、ユーザーとエンティティの行動分析と訳されます。ユーザーの行動を分析して異常を検知する、セキュリティツールのことです。
ここでは、UEBAとはどのようなものなのか、よく似たほかの概念との違いについて解説します。
ユーザーの振る舞いを分析 し、異常を検知するサーバーセキュリティツール
UEBAとは、ユーザーの行動に高度な分析を適用して、異常な行動を検知してセキュリティを高めるツールのことです。アメリカの業界最大規模のITアドバイザリ企業であるガートナー社が、2015年に導入しました。
UEBAは「User」「Entity」「Behavior」「Analytics」という4つの用語の頭文字を集めてつくられた言葉です。ここでは、それぞれの用語の意味を解説します。
【UEBAの4つの用語】
| User | ネットワークやアプリケーションなどを利用するユーザーのこと。 ユーザーの行動を理解することで、セキュリティの問題を特定する。 |
| Entity | エンティティ(実体)のこと。 もともとはユーザーと定義されていたが、ガードナー社が2015年にユーザーと切りわけて導入した。サーバーやルーター、デバイスなど、ユーザー以外のエンティティの監視も行う。 |
| Behavior | 行動のこと。 ユーザーやエンティティの通常の行動を理解したうえで、行動の基準を作成する。そして、この基準から逸脱した行動を検知することで、異常を特定する。 |
| Analytics | 分析のこと。 ユーザーとエンティティ(実体)の行動をAIや機械学習などを利用して学習したうえで分析し、異常な行動を検知する。 |
上記の表のとおり、UEBAはユーザーおよびサーバーやデバイスなどのエンティティ(実体)の行動を分析して、異常を検知する仕組みです。
たとえば、企業の顧客情報を格納したデータサーバーがあり、社員たちは通常の業務でこのデータサーバーに月に何回かアクセスして、情報を利用していたとします。サイバー攻撃を行う犯罪者がこのサーバーにアクセスする場合の行動は、社員たちの通常の行動とは大きく異なります。認証が通るまで何度もアクセスする、認証が通ったらファイルのコピーを行う、外部にメールで送信するなどの異常な行動をとるでしょう。
このように、UEBAはユーザーやエンティティの行動を分析することで、犯罪者による異常な行動を検知し、サイバー攻撃を食い止めます。
UEBAとUBA の違い
UBAとは「User Behavior Analytics」のことで、UEBAから「Entity」を除いたUEBAの旧称です。
UBAもガートナー社が提唱したものであり、2014年に登場しました。その後、ユーザーの行動だけでなく、「Entity」を追加してサーバーやルーター、エンドポイント、アプリケーションなどの行動も分析するUEBAを2015年に提唱しています。
UEBAとSIEMの違い
SIEMとは、アクセスログなどを収集して一元管理し、分析を行ってサイバー攻撃を検知する仕組みのことです。「Security Information and Event Management」の略で「シーム」と読みます。
UEBAとよく似ていますが、仕組みが異なります。UEBAでは、AIや機械学習を活用して通常と異なるユーザーの行動を分析し、異常な行動を検知します。ビッグデータと連携した機械学習の仕組みを活用する点が、SIEMとは異なります。
SIEMについてはこちらもご覧ください。
>>SIEMとは?読み方や導入する必要性・メリットをわかりやすく解説のページへ
UEBAの仕組み
UEBAでは、どのような仕組みでサイバー攻撃を検知するのかをご説明します。
1.データを分析してベースラインを定義する
ユーザーやエンティティの行動に関するアクセスログなど、データを大量に取得して分析します。そして、権限をもつユーザーやエンティティが、通常どのように行動するかというベースラインを定義します。さらに機械学習を用いて、ベースラインの精度を高めていきます。
2.ベースラインから逸脱した行動をリアルタイムで検知しアラートを発行する
ユーザーやエンティティの行動をリアルタイムに監視し、ベースラインから逸脱した行動があれば検知します。異常な行動をリスクにもとづいてスコアづけし、スコアに応じたレベルのアラートを発行します。
たとえば、ユーザーがUSBメモリを接続して、大量のデータをダウンロードしていた場合、データを盗みとる内部犯罪が行われている可能性があります。この場合は、高リスクのスコアをつけ、優先度の高いアラートを発信します。
3.アラート情報を収集し優先順位づけを見直す
低レベルのアラートでも、継続すると深刻な脅威につながることがあります。そのため、発行したアラートを長期的に収集して監視し、優先順位づけの見直しを行います。
UEBAで対処できる脅威・インシデント
UEBAを導入することで、どのような脅威やインシデントに対処できるのでしょうか?ここでは、UEBAによって防ぐことが可能な脅威やインシデントについて、ご説明します。
インサイダー脅威
インサイダー脅威とは、社内システムにおける社員アカウントなど、正規のユーザーが故意または偶発的に起こすサイバーセキュリティの脅威です。たとえば、従業員が社内の機密情報を盗む、フィッシング攻撃により意図せず個人情報を流出させるなどがあります。
通常のセキュリティソフトなどでは、正規ユーザーによるインサイダー脅威を防ぐことはむずかしいものの、UEBAなら異常行動として検知することが可能です。
アカウント侵害
サイバー攻撃者が盗んだ認証情報を使って、システムにアクセスするなどのアカウント侵害を防ぐことが可能です。
たとえば、正規のユーザーはパスワードを間違えずにログインすることが多く、間違えても1回か2回です。ところが、アカウント侵害を行うサイバー攻撃者の場合は、総当たり攻撃を行い、何度もパスワードを間違えるなどの不審な行動をします。そのため、UEBAは、そのようなアカウント侵害を行うユーザーの異常行動を検知できます。
デバイス侵害
IoTデバイスやサーバー、エンドポイントなどのデバイスが、サイバー攻撃者により侵害されることを防ぎます。
サイバー攻撃者はデバイスを乗っとり、機密データにアクセスしたり、サーバーをダウンさせたりします。UEBAはこのような異常な行動を検知し、脅威が拡大する前に対処を行います。
データ流出
社内システム内のデータサーバーや、そのほかのデバイスなどからデータの流出を防ぎます。
サイバー攻撃者は、データサーバーや各種デバイスなどから、社内の認証情報や機密情報、個人情報などを盗みとろうとします。そのような行動は、通常の社員や関係者の行動と異なるため、UEBAでの検知が可能です。
たとえば、社内の機密情報にアクセスするのは、通常月に数回で読みとりのみなのに、何度もアクセスしてデータをコピーしようとする動きがあったとします。この場合、サイバー攻撃者が機密情報を盗みとろうとしている可能性が高いため、UEBAが検知して防ぐことが可能です。
UEBAツールができること
UEBAツールがもつ機能について、解説します。
脅威の可視化・調査
ユーザーやエンティティの通常の行動を分析してベースラインを定めることで、ベースラインから逸脱した脅威を可視化できます。脅威の情報を分析して調査することで、新たな脅威を発見できることもあります。
リスクにもとづいたスコアリング
ベースラインから逸脱した脅威の情報を収集して分析することで、脅威のリスクレベルにもとづいたスコアリングを行います。このスコアリングをもとに脅威の優先順位づけを行い、高レベルの場合は緊急性の高いアラートを発し、すみやかに対処するよう促します。
継続的な学習による効率・精度の向上
ユーザーやエンティティの行動を監視するなかで、検知した行動や脅威の情報を継続的に学習します。そして、学習した内容から、リスクのスコアリングや驚異の優先順位づけを見直すことで、脅威の検知の効率や精度を高めます。
たとえば、低レベルとスコアリングされた脅威であっても、長期的につづくことでリスクの高い脅威に発展することがあります。そのような結果を学習することで、検知の効率と精度を高めることが可能です。
ゼロトラスト・セキュリティの実現
ゼロトラスト・セキュリティとは、どのような場所やアクセスであっても、信頼しないという考え方のセキュリティ対策です。
従来の境界型セキュリティでは、社内ネットワークの内部は安全など、内部と外部を区別する考え方でした。ところが、リモートワークが普及し、事務所の社内ネットワーク内だけで働くのではなく、外部からタブレット端末などで仕事をするケースが増えました。その結果、社内ネットワークの内部も外部も信用できないという、ゼロトラスト・セキュリティの考え方が必要とされています。
UEBAは、社内ネットワークの内部にいるか、外部にいるかは関係なく、すべてのユーザーやエンティティの行動を信用せずに検証を行います。そのため、ゼロトラスト・セキュリティを実施することが可能です。
ゼロトラストについてはこちらもご覧ください。
>>ゼロトラストとは?意味や従来型セキュリティとの違い、導入方法を解説のページへ
GDPRの順守
欧州連合の一般データ保護規則(GDPR)は、企業や組織に対して、機密情報保護のための厳格な要件を課しています。具体的には、どのような個人データが、誰に、どのように使われ、いつ削除されるのかなどを追跡できる状態にしておく必要があります。
UEBAが導入されていれば、ユーザーやエンティティによるデータへのアクセスを監視できるため、GDPRを順守することが可能です。
UEBAの導入にあたっての注意点
UEBAを導入する際の注意点について、ご説明します。
ほかのセキュリティソリューションと併用する
UEBAは、ゼロトラスト・セキュリティを実現できる、優秀なセキュリティソリューションです。しかし、単体で使うのではなく、ほかと併用すべきといえます。
ほかのセキュリティソリューションの特性も活かしながら、相互にサポートする形にすることで、よりセキュリティ対策を強化することが可能です。UEBAは、ほかのソリューションと併用しやすいため、現状使用しているソリューションと置き換えるのではなく、併用することをおすすめします。
UEBAにかかわるメンバーを絞る
UEBAは、内部犯行によるセキュリティの脅威を防ぐための有効なツールです。そのため、その仕組みや設定を知り、管理権限をもつメンバーの人選は慎重に行わなければなりません。
UEBAの仕組みを知る人が増えることで、こんなユーザーの行動は脅威として検知されるなどの重要な情報が漏れやすくなります。その結果、UEBAによる防御の仕組みが弱体化してしまう可能性も考えられます。
IDの統一を行う
UEBAを導入するシステムのIDの管理について、同一人物が保有するIDは統一する必要があります。たとえば、社内システムにあるいくつかのシステムで別々のIDを発行する場合は、同一のユーザーとして認識できるIDにすべきといえます。
なぜなら、同一人物が別々のIDを保有している場合、それぞれのIDが別人の振る舞いとしてUEBAに認識されてしまうためです。これにより、UEBAによるユーザーの行動の認識がずれることで、正しい分析ができなくなってしまう可能性があります。
専門知識をもった人材の確保が必要になる
UEBAを適切に運用するためには、専門知識をもった人材を確保する必要があります。複数のセキュリティソリューションと併用しUEBAの仕組みや特性を理解して運用するためには、専門的な知識が必要です。
導入・運用にコストがかかる
UEBAを導入するためには、導入コストと運用コストがかかります。
導入時は、社内のシステムにどのように導入すべきか、すでに導入済みのソリューションとどのように相互サポートさせるかなどを検討しなければなりません。また、UEBAが発したアラートを管理して対応を行うなど、導入後も適切な運用が必要です。
まとめ
この記事では、UEBAとは何か、その仕組みや対処できる脅威・インシデント、導入にあたっての注意点について解説しました。
UEBAは、ユーザーやエンティティの行動を分析することで、セキュリティの脅威を検知する新しいタイプのセキュリティソリューションです。セキュリティレベルを高めたい場合には、導入をおすすめします。
SHIFTでは、セキュリティソリューションの導入支援を行っています。導入時には、既存システムとの相互サポート管理や運用なども対応しますので、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
