UEBA とは、ユーザーや機械の振る舞いを分析する手法です。この記事では、UEBA とはどのようなものなのか知りたい人に向けて、UEBA の概要や仕組みなどを詳しく解説します。また、UEBA が必要な理由や導入方法などについても解説するので、この記事を読んで UEBA への理解を深め、自社に導入すべきかどうかの検討に役立ててください。
UEBA とはどのようなものか?
UEBA は「User and Entity Behavior Analytics」の頭文字をとった言葉です。日本語に訳すと、「ユーザーやエンティティ(機械や物体など)の振る舞い解析」となります。その名のとおり、ユーザーや機械・物体などの行動をもとにして、分析・解析を行うことが特長です。エンティティとして定義されるものとしては、IT システムや業務プロセス、インフラや組織などが挙げられます。
UEBA では、ユーザー個人とこれらのシステムなどがどのような振る舞いをしているのかをログを収集して分析します。そこから、通常時・異常時それぞれの行動や振る舞いをモデル化することにより、疑わしい行動や攻撃の可能性といった、従来のウイルス対策ソフトなどでは検知しにくかった振る舞いの特定が可能です。
そのため、UEBA では今までは検出が難しかったインシデントにつながる危険を早期発見できるというメリットがあり、セキュリティ対策の強化に役立ちます。
UEBA はどういう仕組み?
UEBA の概要について理解できたところで、仕組みについて把握しましょう。ここでは、「UEBA はどのような分析方法なのか」「UEBA の学習機能が持つ役割とは」の2点について詳しく解説します。
UEBA はどのような分析方法なのか
UEBA では、組織のユーザーだけでなく IT システムなどのエンティティの振る舞いを見張っています。ユーザーおよびエンティティの行動などの情報を処理して、決まった行動や振る舞いなどがサイバー攻撃につながる可能性があるかどうかなどを分析して見極めます。
サイバー攻撃によってなりすましなどが起こっても、通常時の行動は模倣することはできません。そのため、通常時の振る舞いと異常時の振る舞いを見極められる UEBA では、攻撃などの可能性の検知が可能です。
UEBA では、統計モデルや機械学習、ルールや脅威シグネチャなどのさまざまな解析アプローチを駆使することが特長です。これらの解析アプローチを活用することで、異常の早期検知だけでなく幅広い以上や攻撃などの検知が可能となります。
UEBA の学習機能が持つ役割とは
機械学習を活用した学習機能は、高度な分析に対応した性能の高いデータプラットフォームの実現には欠かせない要素だと言われています。
機械学習による学習機能があることで、シグネチャや人の手による分析が必要ありません。そのため、マルチエンティティの行動プロファイリングが可能となっており、ピアグループ分析と組みあわせることも可能です。それにより、より細かな違いまで見極められるため、従来よりも高い精度でサイバー攻撃や脅威などの検出ができます。
また、機械学習による自動検出ができるため、インシデントをより素早く検出できたり影響の分析などもスピーディーに行えたりと、効率的な検出・対応が可能です。
どうして UEBA が必要なの?
UEBA では従来は検出が難しかった脅威などが検出できますが、なぜ UEBA の必要性が高まっているのでしょうか。UEBA が必要とされる理由として「攻撃手法の多様化や高度化」と「大規模なデータ分析による精度の向上」の2点が挙げられます。ここでは、それぞれの理由について詳しく解説します。
攻撃手法の多様化や高度化
サイバー攻撃の件数は増加の一途をたどっています。サイバー攻撃の増加にともなって、攻撃手法は多様化しています。また、その攻撃が高度化しているなど、サイバー攻撃は日々進化しているため、セキュリティ対策の強化が欠かせません。
攻撃手法の高度化や多様化、組織的攻撃の増加など日々変化していく攻撃に対応するには、従来通りの方法では難しいという背景があります。今までのセキュリティ対策や脅威の検出方法では攻撃を発見したり防いだりすることが難しいため、より高度かつ広範囲の検出方法が求められています。
UEBA では、従来の方法よりもより広範囲かつ高精度にユーザーやエンティティの振る舞いが確認でき、異常の検出がスピーディーに可能です。
大規模なデータ分析による精度の向上
UEBA では分析する際に、ユーザーの行動や振る舞いを統計情報として整理しています。統計情報を取得して、正しくユーザーの振る舞いを掴むには、大規模なデータ分析が必要となります。しかし、今までの技術では大規模なデータ分析が難しいという課題がありました。
しかし IT 技術などの進化によって、大容量のメモリや高精度なデータ処理技術などが普及しています。これらの技術を用いることにより、今までは難しかった大規模なデータ分析が実現できるようになったことが、UEBA の需要を高める大きな要因です。
大規模なデータ分析が可能となったため、ユーザーやエンティティの振る舞い分析の精度が向上し、より使いやすくなっています。
UEBA と UBA の違いは?
UEBA と似た言葉として「UBA」があります。UEBA と UBA にはどのような違いがあるのでしょうか。ここでは、UBA とはどのようなものなのかについて詳しく解説します。また、あわせて UEBA と UBA の違いについても解説するので、以下の内容を参考にして UEBA・UBA への理解を深めてください。
UBA とはどのようなもの?
UBA は「User Behavior Analytics」を略した言葉です。日本語に訳した場合には「ユーザーの振る舞い解析」となり、ユーザーの行動分析から脅威などを検知するものだと考えるとよいでしょう。UBA とは通常の方法では見逃してしまうような内部脅威を発見して、対応をサポートするソフトウェアカテゴリーを指します。
UBA では、機械学習と分析を活用します。データをもとにしてアルゴリズムを実行して、通常時のユーザーの行動とは異なる点や不自然な行動などの検出が可能です。これにより、攻撃者が企業の内部を探ろうとした段階で、行動の特定や追跡が行えるようになります。
UEBA と UBA の違いはどこ?
UEBA と UBA は、基本的には同じものとして考えて構いません。以前は UBA と呼ばれていたものが、エンティティという語句を加えて UEBA と呼ばれるようになったと考えてよいでしょう。
これには、分析の対象とするのはユーザーだけでなく、IT システムやサーバーなどといったエンティティも対象とするべきだという考え方が広まったことに関係しています。そのため、UEBA ではネットワーク内で行動しているユーザー(人間)だけではなく、ネットワークでつながっているデバイスやサーバーなどのエンティティ(機械)についても、行動や振る舞いのモデル化が可能です。
UEBA の導入方法
UEBA を導入するにはどうすればよいのでしょうか。UEBA を導入する際には導入のポイントをしっかりと押さえる必要があります。また、導入する上で気をつけたいポイントも存在しているため、把握しておくことが重要です。ここでは、UEBA を導入するときのポイントや導入にあたっての注意点について詳しく解説します。
導入のポイント
UEBA を導入する際には、他のソリューションとの置き換えを目指すのではなく、一緒に使用しましょう。UEBA ではその他のソリューションとも併用できる仕組みになっているため、相互にサポートし合えます。
また、新しいルールやポリシーを構築する場合には、組織内の脅威だけではなく、組織外の脅威についても一緒に考える必要があります。また、セキュリティチームの中でもふさわしいメンバーのみが確実に UEBA アラートを受け取れるようにすることも重要です。
権限のないユーザーアカウントが脅威になる可能性も考慮しましょう。サイバー攻撃では特権のないアカウントが利用されるケースも珍しくありません。最後に、UEBA はそれだけで万能というわけではなく、従来の監視インフラやツールの不足部分を補うものだということを忘れないようにしましょう。
導入する上で注意すること
UEBA を導入する際の注意点としては、社内で離床しているシステムの ID 統一が必要だという点が挙げられます。UEBA ではシステムごとに別々の ID を使用している場合、それぞれ別ユーザーとして扱われてしまいます。
UEBA はユーザーや機械の行動を見張って分析するものです。そのため、同じユーザーであるのに別ユーザーとしてカウントされてしまうと、一貫性のある振る舞い分析ができなくなってしまいます。ID を統一しないことで分析精度が低下する可能性もあり、インシデントの検知が思ったようにできなくなる場合もあるため注意しましょう。
UEBA を活用したセキュリティ対策を実施しよう
UEBA は、ユーザーやエンティティの振る舞いを見張って分析し、脅威や攻撃を検知します。UEBA では従来は難しかった脅威なども検知できるようになるため、サイバー攻撃の進化への対応として必要性が高まっています。
SBテクノロジーでは Microsoft Sentinel の自社導入・運用を支援する「SIEM 構築・運用支援サービス for Microsoft Sentinel」というサービスを提供しています。UEBAとの併用により、強固なセキュリティ対策の実現が可能です。また、SIEM 製品の導入・運用実績が豊富なだけでなく、セキュリティ専門アナリストを数多く抱え、マネージドセキュリティサービスの提供も行っているため安心感があります。セキュリティ強化をお考えなら、ぜひ資料請求ください。
