サイバーセキュリティーにおけるユーザー行動分析(UBA)は、データ分析、人工知能、機械学習を使用して、ネットワーク内のユーザーの行動を追跡し、通常の行動パターンをモデル化し、セキュリティー上の脅威を示す可能性のある逸脱を検知することです。
UBAツールは、新しいIPアドレスからのログインや、通常は扱わない機密データの閲覧など、個々のユーザーが普段行わないことをしたことを検知できます。
このような軽微な異常の場合、他のネットワーク監視ツールは起動しない可能性があります。しかし、UBAは、このアクティビティーがこの特定のユーザーにとって異常であると判断し、セキュリティー・チームにアラートを発することができます。
UBAツールは、微妙に疑わしい行動を検知できるため、セキュリティー・オペレーション・センター(SOC)が内部脅威、高度で持続的な脅威、盗まれた認証情報を使用するハッカーなどの回避型攻撃を特定するのに役立ちます。
この能力は、今日のSOCにとって重要です。IBM X-Force Threat Intelligence Indexによると、有効なアカウントの不正使用は、サイバー犯罪者がネットワークに侵入する方法として最も一般的です。
UBAツールや技法はさまざまな分野で使用されています。例えば、マーケティング担当者や製品デザイナーは、人々がアプリやWebサイトとどのようにやり取りしているかを理解するために、ユーザーの行動データを追跡することがよくあります。しかし、サイバーセキュリティーでは、UBAは主に脅威の検知に使用されます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
アナリスト企業のGartner社によって2015年に初めて定義されたユーザーおよびエンティティーの行動分析(UEBA)は、UBAから進化したセキュリティー・ツールの一種です。
UBAと同様に、UEBAツールもネットワーク・アクティビティーを監視し、通常の行動のベースラインを確立し、その基準からの逸脱を検知します。主な違いは、UBAが人間のユーザーのみを追跡するのに対し、UEBAシステムはアプリやデバイスといった人間以外のエンティティーのアクティビティーやメトリクスも追跡する点です。
この2つの用語に互換性があるかどうかについては議論があります。IDCのような一部の企業は、これらはテクノロジーの別個のクラスであると主張しています。1一方、Gartnerの元アナリスト、Anton Chuvakin氏は、UBAとUEBAはほぼ同義語と考えていると述べています。
いずれにせよ、ユーザーに焦点を当てるということが、UBAとUEBAを、セキュリティー情報およびイベント管理(SIEM)やエンドポイントの検知と対応(EDR)のような同様のセキュリティー・ツールと区別する点です。これらのツールを使用することで、セキュリティー・チームは、システム・アクティビティーを個々のユーザー・レベルで理解し、分析できます。人間以外のエンティティーを追跡することで、コンテキストを追加することはできますが、それは必ずしもこれらのツールの中心的な目的ではありません。
あるいは、Chuvakin氏の言葉を引用すると、「『U』は必須ですが、『U』を超えて他の『E』まで含めることは必須ではありません」。
ユーザー行動分析ツールは、ネットワーク全体のソースからユーザー・データを継続的に収集し、それを使用してユーザー行動のベースライン・モデルを作成し、改良します。このツールは、ユーザー・アクティビティーをこれらのベースラインとリアルタイムで比較します。重大なリスクをもたらす異常な行動を検知すると、適切な利害関係者にアラートを発します。
UBAツールは、ユーザー属性(ロール、権限、場所など)とユーザー・アクティビティー(例えば、ユーザーがファイルに加えた変更、訪問したサイト、移動したデータ)に関するデータを収集します。UBAは、この情報を次のようなさまざまなデータ・ソースから収集できます。
Microsoft Active Directoryなどのユーザー・ディレクトリー
侵入検知および防止システム(IDPS)、ルーター、VPN、その他のインフラストラクチャーからのネットワーク・トラフィック・ログ
アプリ、ファイル、エンドポイント、データベースからのユーザー・アクティビティー・データ
IDおよびアクセス管理システムからのログインおよび認証データ
SIEM、EDR、その他のセキュリティー・ツールからのイベント・データ
UBAツールは、データ分析を使用して、ユーザー・データを通常のアクティビティーのベースライン・モデルに変換します。
UBAツールは、統計的モデリングやパターン・マッチングなどの基本的な分析手法を使用できます。また、人工知能(AI)や機械学習(ML)といった高度な分析も多く使用されています。
AIとMLを使用することで、UBAツールは膨大なデータ・セットを分析し、より正確な行動モデルを作成できます。また、機械学習アルゴリズムは、時間の経過とともにこれらのモデルを改良することもできるため、業務やユーザーの役割の変化に合わせて進化させることができます。
UBAツールは、個人ユーザーとユーザー・グループの両方の行動モデルを作成できます。
個々のユーザーの場合、モデルは、ユーザーがログインした場所や、さまざまなアプリに費やした平均時間などを記録する場合があります。
部門内のすべてのユーザーなどのユーザーのグループの場合、これらのユーザーがアクセスするデータベースや、やり取りする他のユーザーなどをモデルで説明できます。
個々のユーザーは、通常の勤務中に使用するさまざまなアプリやサービスのために、複数のユーザー・アカウントを持っている可能性があります。多くのUBAツールは、これらのアカウントからのアクティビティーを単一の統一されたユーザーIDの下に統合することを学習できます。
アカウント・アクティビティーの統合は、ユーザー・アクティビティーがネットワーク内の異なる場所に分散している場合でも、セキュリティー・チームが行動パターンを検知するのに役立ちます。
ベースライン・モデルを作成した後、UBAツールはユーザーを監視し、その行動をこれらのモデルと比較します。潜在的な脅威を示すような逸脱を検知すると、セキュリティー・チームにアラートを発します。
UBAは、いくつかの異なる方法で異常を検知でき、多くのUBAツールは検出方法を組み合わせて使用します。
一部のUBAツールはルールベースのシステムを使用しており、セキュリティー・チームは、ユーザーが権限レベル外の資産にアクセスしようとした場合など、アラートをトリガーする状況を手動で定義します。
多くのUBAツールは、AIやMLアルゴリズムを利用してユーザー行動を分析し、異常を検知します。AIとMLを活用することで、UBAはユーザーの過去の行動からの逸脱を検知できます。
例えば、これまで勤務時間中だけアプリにログインしていたユーザーが、夜間や週末にもログインするようになった場合、侵害されたアカウントである可能性があります。
また、UBAツールはAIやMLを使用してユーザーを同僚と比較して、異常を検知することもできます。
例えば、マーケティング部門では、顧客のクレジット・カード記録を引き出す必要があるユーザーはいないことが十分に考えられます。マーケティング担当のユーザーがこれらのレコードにアクセスしようとした場合、それはデータ窃盗の試みの兆候である可能性があります。
ユーザー行動に関するAIやMLアルゴリズムのトレーニングに加えて、組織は脅威インテリジェンス・フィードを使用して、悪意のあるアクティビティーの既知の兆候を検出するよう、UBAツールに学習させることができます。
UBAツールは、ユーザーが通常と違うことをするたびにアラートを発するわけではありません。結局のところ、人々は多くの場合、正当な理由で「異常」な行動をしています。例えば、あるユーザーは新しいベンダーと初めて仕事をするため、それまで知らなかった相手とデータを共有することがあります。
多くのUBAツールは、個々のイベントにフラグを立てる代わりに、各ユーザーにリスク・スコアを割り当てます。ユーザーが何か異常なことをするたびに、そのリスク・スコアは上昇します。異常のリスクが高いほど、上昇率は高くなります。ユーザーのリスク・スコアが特定のしきい値を超えると、UBAツールがセキュリティー・チームにアラートを発します。
こうすることで、UBAツールはセキュリティー・チームに軽微な異常についてはアラートを出さないようにします。それでも、サイバー脅威を示す可能性が高い、ユーザーのアクティビティーの定期的な異常のパターンを捉えることはできます。1つの重大な異常が十分に高いリスクをもたらす場合には、アラートをトリガーすることもあります。
ユーザーのリスク・スコアが十分に高い場合、UBAツールは、SOC、インシデント対応チーム、またはその他の利害関係者にアラートを発します。
一部のUBAツールには専用のダッシュボードがあり、そこでセキュリティー・チームがユーザー・アクティビティーを監視し、リスク・スコアを追跡し、アラートを受信できます。また、多くのUBAツールは、SIEMやその他のセキュリティー・ツールにアラートをプッシュできます。
UBAツールは通常、脅威に直接対応する機能を備えていませんが、その機能を持つ他のツールと統合できます。
例えば、一部のIDおよびアクセス管理(IAM)プラットフォームでは、適応型認証にUBAデータを使用します。ユーザーのリスク・スコアが特定のしきい値を超えた場合(おそらく、新しいデバイスからサインインしているなど)、IAMシステムは追加の認証要素を要求することがあります。
UBAツールは、ネットワーク内部のユーザーのアクティビティーに焦点を当てているため、セキュリティー・チームが境界防御を突破した悪意のある攻撃者を捕捉するのに役立ちます。
さらに、ユーザー行動の長期的なパターンを追跡することで、UBAは、最も巧妙なサイバー攻撃が残す、ほとんど感知できない痕跡を検知できます。
内部脅威とは、故意であれ過失であれ、正当な権限を乱用または悪用して会社に損害を与えるユーザーのことです。これらのユーザーは、被害を与えているシステムに入る権限を持っていることが多いため、多くのセキュリティー・ツールはこのようなユーザーを見逃してしまう可能性があります。
一方、UBAはユーザーが異常な行動をとったときに、それを確認できます。ユーザは機密データを扱う権利を持っているかもしれませんが、そのデータを見知らぬデバイスに大量に転送した場合、UBAはこれを盗難の可能性があるとしてフラグを立てることができます。
APTは数カ月または数年にわたってネットワークに潜伏し、密かにデータを盗んだり、マルウェアを拡散したりする可能性があります。多くの場合、正当なユーザーになりすまし、リスクの高い大きな動きをするのではなく、時間をかけて小さな手順を何度も踏むことで、検知を回避します。UBAは、このような長期的な不審な行動パターンを検知することを得意としています。
UBAツールは、状況によっては誤検知や偽陰性を生成することがあります。組織は、リスク・スコアを使用したり、AIやMLのアルゴリズムをユーザー独自のパターンに基づいて訓練することで、そのような可能性を軽減することはできますが、リスクを完全に排除することはできないかもしれません。
あるユーザーが、計画的なマイグレーションの一環として、あるクラウドから別のクラウドへ大量の機密データを転送し始めたとします。UBAのベースライン・モデルは、このような承認されてはいるが、稀なアクティビティーを考慮に入れていない可能性があるため、アラートを発します。
UBAツールが潜在的な脅威を許容可能な行動として扱うことを学習したときに、偽陰性が発生します。これは、異常が修正されることなく繰り返し発生する場合に生じる可能性があります。
例えば、デモ中に顧客に対してデータ侵害をシミュレートすることでUBAの検知スキルを顕示するベンダーを考えてみましょう。UBAツールにしてみれば、同じ侵害が何度も発生することになります。この侵害は非常に定期的に発生するため、最終的には通常の動作であると判断してしまい、アラートの発行を停止する可能性があります。
スタンドアロン型のUBAソリューションを提供するベンダーもありますが、市場は他のセキュリティー・ツールとの統合やアドオンとしてUBA機能を提供する方向にますますシフトしています。具体的には、UBA機能は多くの場合、SIEM、EDR、IAMプラットフォームに組み込まれています。
SIEMは、内部のさまざまなセキュリティー・ツールからのセキュリティー・イベント・データを単一のログに集約して、そのデータを分析して異常なアクティビティーを検知します。現在、多くのSIEMがUBA機能を備えているか、またはUBAツールと容易に統合できるようになっており、組織がSIEMデータを最適化するのに役立っています。
ユーザー行動データとセキュリティー・イベント・データを組み合わせることで、組織は脅威をより早く発見し、最もリスクの高い異常を優先的に調査できます。
UBAは、エンドポイント・アクティビティー・データにユーザー行動データを追加することで、EDRツールを補完します。これにより、セキュリティー・チームは、ユーザーがエンドポイントで行っている事柄についてより多くの洞察を得ることができ、デバイス全体の不審な行動のパターンを特定しやすくなります。
組織はIAM ツールを使用して、どのユーザーがどのリソースにアクセスできるかを制御します。前述したように、UBAツールをIAMシステムと統合することで、組織は、ユーザーのリスク・スコアが上昇するにつれて認証要件を強化する、インテリジェントな適応型認証プロセスを設計できます。