UEBA(ユーザーとエンティティーの行動分析)とは
UEBAが優れたセキュリティーの洞察をチームに提供し、ゼロトラスト・セキュリティー・プログラムを強化する方法を紹介します。
IBMニュースレターの購読 QRadar SIEMによるUEBAの詳細はこちら
IBM Securityを使うオフィス従業員を示すアイソメトリック画像
UEBAとは何か

ユーザーとエンティティーの行動分析(UEBA)とは、行動分析、機械学習アルゴリズム、自動化を使用して、ユーザーやデバイスの異常行動あるいは潜在的な危険性のある行動を特定するセキュリティー・ソフトウェアの一種です。UEBAは、許可されたネットワーク・トラフィックを模倣するため、他のセキュリティー・ツールをすり抜ける可能性のある内部脅威(悪意のある内部関係者や、侵害された内部関係者の資格情報を使用するハッカー)を特定する場合に効果的です。

UEBAは、2015年にGartner社によって新たに作成された言葉で、ユーザー行動分析(UBA)の進化形です。UBAで追跡するのはエンドユーザーの行動パターンのみですが、UEBAでは、サーバーやルーター、モノのインターネット(IoT)デバイスなどのユーザー以外のエンティティーも監視し、セキュリティー脅威や攻撃を示す可能性のある異常行動や不審な活動がないかを監視します。

UEBAは、 セキュリティー・オペレーション・センター(SOC)内で他のエンタープライズ・セキュリティー・ツールとともに使用されます。UEBAの機能は、セキュリティー情報とイベント管理(SIEM)エンドポイントの検知と対応(EDR)拡張検知と対応(XDR)IDとアクセス管理(IAM)などのエンタープライズ・セキュリティー・ソリューションに搭載されています。
UEBAの仕組み

UEBAソリューションは、データ分析と機械学習を通じてセキュリティーに関する洞察を提供します。UEBAシステム内の行動分析ツールは、複数のソースから大量のデータを取り入れて分析し、特権のあるユーザーやエンティティーが通常どのように動作するかのベースラインを定義します。次に、機械学習を使ってベースラインをさらに精密にします。MLの時間の経過とともに学習していくため、UEBAソリューションが正確なベースラインを作成するために収集、分析する必要のある通常行動のサンプルは減っていきます。

UEBAはベースライン行動モデルを作成した後、その同じ高度な分析と機械学習の機能を現在のユーザーとエンティティーの活動データに適用して、ベースラインから逸脱した不審な行動をリアルタイムで特定します。UEBAは、できるだけ多くの企業内ソース(多ければ多いほど良い)からのデータを分析することで、ユーザーとエンティティーの行動を評価します。これらのソースには、一般的に次のものが含まれます。

  • ファイアウォール、ルーター、VPN、IAMソリューションなどのネットワーク・デバイスとネットワーク・アクセス・ソリューション

  • アンチウイルス/アンチマルウェア・ソフトウェア、EDR、侵入検知防止システム(IDPS)、SIEMなどのセキュリティー・ツールとソリューション

  • Active Directoryなどのネットワーク環境、システム内で有効なユーザー・アカウントとコンピューター、許可されたユーザーの活動について重要な情報を格納する認証データベース

  • MITRE ATT&CKなどのゼロデイ攻撃、マルウェア、ボットネット、その他のセキュリティー・リスクなど、一般的なサイバー脅威や脆弱性についての情報を提供する脅威インテリジェンス・フィードとフレームワーク

  • 退職を申し出た従業員や不満を抱いている従業員など、脅威をもたらす可能性のあるユーザーについての情報が含まれる、エンタープライズ・リソース・プランニング(ERP)または人事(HR)システム

UEBAは学習した内容を使用して異常な行動を特定し、そのリスクに基づいてスコアを付けます。例えば、短い期間の間に何度か認証を試みて失敗した場合やシステムへ異常なアクセス・パターンがあった場合には、内部脅威を示す可能性があるため低スコアのアラートを発行します。同様に、ユーザーが複数のUSBドライブを接続して、通常と異なるパターンのダウンロードを行っている場合、データ窃取を示す可能性があるため、高リスクのスコアを付けます。

このスコア算出の測定基準を使用すると、セキュリティー・チームは誤検知を回避して最も大きな脅威に優先順位を付けると同時に、低レベルのアラートを長期にわたって文書化し、監視することで、その組み合わせによって、動きは遅いものの、深刻な脅威を示す可能性があります。
UEBAのユースケース

UEBAは、企業が不審な行動を特定して情報漏えい対策(DLP)の取り組みを強化するのに役立ちます。UEBAは、これらの戦術的な用途以外にも、ユーザー・データとプライバシー保護に関する規制の順守を証明するなど、より戦略的な目的にも役立ちます。

戦術的なユースケース

悪意のある内部関係者:社内ネットワークに正規のアクセス権、中には特権アクセス権を持ち、サイバー攻撃を企てようとする人々です。ログ・ファイルやイベント記録のようなデータだけでは、このような人々を常に見分けられるとは限りませんが、高度な分析によって特定できます。UEBAは、IPアドレスではなく特定ユーザーに関する洞察を提供するため、セキュリティー・ポリシーに違反しているユーザー個人を特定できます。

侵害された内部関係者:攻撃者は、フィッシング詐欺やブルート・フォース・アタック、その他の手段を通して、許可されたユーザーやデバイスの資格情報を入手します。盗んだものとはいえ本物の資格情報を使用しているため、攻撃者は正規ユーザーのように見えるので、一般的なセキュリティー・ツールではこのような攻撃者を発見できない場合があります。これらの攻撃者が内部に侵入すると、横移動を行い、ネットワーク全体を移動して資格情報を手に入れ、特権レベルを引き上げてさらに機密性の高い資産に到達します。このような攻撃者が本物の資格情報を使用していたとしても、UEBAは彼らの異常な行動を特定できるため、攻撃の阻止に役立ちます。

侵害されたエンティティー:多くの組織、特に製造業者や病院では、IoTデバイスなどの接続デバイスを多数使用していますが、セキュリティー設定がほとんど、あるいはまったくされていない場合がよくあります。防御が不十分な場合、このようなエンティティーはハッカーにとって格好の標的となります。彼らはこのようなデバイスを乗っ取り、機密データのソースにアクセスしたり、オペレーションを中断させたり、分散型サービス拒否(DDoS)攻撃を仕掛けたりする可能性があります。UEBAは、このようなエンティティーが侵害されたことを示す動作の特定の役立つため、脅威が拡大する前に対処できます。

データ窃取:内部脅威と悪意のあるアクターは、侵害されたサーバー、コンピューター、その他のデバイスから、個人情報や知的財産、ビジネス戦略に関する文書を盗もうとすることがよくあります。UEBAは、通常と異なるダウンロードやデータ・アクセスのパターンをセキュリティー・チームに警告することで、チームがデータ侵害をリアルタイムに検知できるよう支援します。

戦略的なユースケース

ゼロトラスト・セキュリティーの実施ゼロトラスト・セキュリティー・アプローチとは、ネットワークの外部にいるか、すでに内部にいるかに関係なく、すべてのユーザーやエンティティーを決して信用せず継続的に検証する取り組みです。具体的には、ゼロトラストは、アプリケーションやデータへのアクセス権を付与される前に、すべてのユーザーとエンティティーを認証、認可、検証し、その後セッションを通じてアクセスを維持または拡張するために継続的に再認証、再認可、再検証することを必要とします。

ゼロトラスト・アーキテクチャーを効果的にするには、ネットワーク上のすべてのユーザー、デバイス、資産、エンティティーを最大限に可視化する必要があります。UEBAは、セキュリティー・アナリストに、どのデバイスがネットワークに接続しようとしているか、どのユーザーが権限を逸脱しようとしているかなど、すべてのエンドユーザーとエンティティーの活動を詳細かつリアルタイムに可視化します。

GDPR順守:欧州連合の一般データ保護規則(GDPR)は、機密情報を保護するための厳格な要件を組織に課しています。GDPRの下では、企業は、どの個人データが、誰によって、どのように使用され、いつ削除されたかを追跡する必要があります。UEBAツールは、ユーザーの行動とユーザーがアクセスする機密データを監視することで、企業のGDRP順守に役立ちます。
UEBA、SIEM、その他のセキュリティー・ツール

UEBAまたはUEBAタイプの機能は、現在利用可能な多くのセキュリティー・ツールに搭載されています。UEBAは単体製品として使用可能ですが、総合的なサイバーセキュリティー・ツールボックス内の1つのツールとして見なされるべきです。特に、次のツールと組み合わせて、または組み込んで使用される場合が多くあります。

セキュリティー情報とイベント管理(SIEM)SIEMシステムは、異種の内部セキュリティー・ツールからのセキュリティー・イベントのデータを1つのログに集約し、そのデータを分析して、異常な動作や潜在的な脅威を検知します。UEBAは、内部脅威の検知とユーザー行動分析の機能を通じて、SIEMのネットワークに対する可視性を拡張できます。現在、多くのSIEMソリューションにUEBAが含まれています。

エンドポイントの検知と対応(EDR):EDRツールは、ノートPC、プリンター、IoTデバイスなどのシステム・エンドポイントを監視して、脅威を示す可能性のある異常な動作の兆候がないか確認します。脅威が検知されると、EDRは自動的にその脅威を封じ込めます。UEBAは、エンドポイント上のユーザー行動を監視することでEDRソリューションを補完し、多くの場合、EDRの一部として含まれています。例えば、不審なログインがあったとき、EDRは低レベルのアラートを発行する可能性があります。しかし、エンドポイントが機密情報へのアクセスに使用されていることをUEBAが検出した場合には、アラートのレベルを適切に引き上げて迅速に対処できます。

IDとアクセス管理(IAM):IDとアクセス管理ツールは、適切なユーザーとデバイスが必要なときに、適切なアプリケーションとデータを使用できるようにします。IAMは予防的であり、認可されたアクセスを容易にすると同時に、不正アクセスの防止を図ります。UEBAは、資格情報の侵害や、許可されたユーザーによる権限の乱用の兆候を監視することで、新たな防御レベルを追加します。
関連ソリューション
IBM Security QRadar SIEM

企業全体で重大なサイバーセキュリティーの脅威を検知、調査、対応します。

QRadar SIEMの詳細はこちら
IBM Security QRadar SIEMアドオン

QRadar SIEMをUEBA、人工知能、インシデント・フォレンジックなどで強化します。

アドオンの詳細はこちら
インサイダー脅威セキュリティ ソリューション

ネットワークにアクセス権のある内部関係者による、悪意のある脅威や意図しない脅威から保護します。

ソリューションはこちら
参考情報 SIEM(セキュリティー情報とイベント管理)とは

SIEMは、ビジネス運営に支障をきたす前に、組織が潜在的なセキュリティー上の脅威や脆弱性を認識するために役立ちます。

 EDR(エンドポイントの検知と対応)とは

EDRは、アンチウイルスやその他の従来のエンドポイント・セキュリティー・ツールをすり抜ける脅威から、エンドユーザー、エンドポイント・デバイス、IT資産を保護します。

 機械学習とは何か。

機械学習は、人間の学習方法をコンピューターが学習し、その精度を徐々に向上させることができます。
詳細情報はこちら

IBM Security QRadar SIEMの体験型クイック・デモを通じてIBMのエキスパートがご質問やお悩みにお答えします。ご都合の良い日時で開催いたしますので、お気軽にお申し込みください。攻撃に備える方法や、AIと自動化の活用方法、高度な脅威のより迅速な発見と関連付け、ネットワークを侵害する内部関係者の不審な活動の発見など、さまざまな内容をご紹介します。

SIEMデモを要求する