ユーザーとエンティティの動作分析(UEBA)は、不審な動作や疑わしい動作を特定し、リスク軽減を支えるものです。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
ユーザーとエンティティの挙動分析(UEBA)は、データ分析と機械学習(ML)を使用して、ユーザー、デバイス、その他のエンティティによる異常かつ潜在的に危険な動作を検出する一連のサイバーセキュリティ機能です。2015年にGartner社が作り出したこの用語は、ユーザー挙動分析UBAの概念を拡大し、サーバーやルーター、スマートフォン、モノのインターネット(IoT)デバイスに至るまで、デバイスとエンティティの挙動までを含めたものとなっています。
UEBAは、典型的なユーザーとデバイスの動作を判定し、その動作からの逸脱を特定してセキュリティリスクに応じた逸脱をスコア付けします。たとえば、ある従業員が通常サンフランシスコから午前8:00(PT)にクラウドメールにログインしているとします。その従業員が数時間後にロンドンから顧客データベースにログインし、大量の機密情報や専有情報をダウンロードし始めた場合、UEBAはこれを異常であり潜在的に高リスクの行動と識別します。
UEBAは、あらゆる行動を精査し典型的な行動との相違点を見つけ、組織の脅威ハンティングおよびリスク管理の取り組みにおいて重要な役割を果たします。UEBAは、既存のセキュリティ機能を補強し、Zero Trustセキュリティモデルを支え、規制要件へのコンプライアンス維持を支援するものです。
UEBAの機能では、まず次のような幅広いデータを調査することで、典型的なユーザーとデバイスの動作のベースラインを確立します。
そのデータは、セキュアWebゲートウェイ、Zero Trustネットワークアクセスサービス、データ損失防止(DLP)サービス、ファイアウォール、ルーター、VPN、IDとアクセス管理IAMソリューション、侵入検知および防止システム(IDPS)、ウイルス対策ソフトウェア、認証データベースなどに関連しています。これらのセキュリティサービスとソリューションは、セキュアアクセスサービスエッジ(SASE)とセキュリティサービスエッジ(SSE)プラットフォームの一部となっている場合があります。
ML機能は、継続的に取り込まれたデータから学習し、時間をかけて動作のベースラインを洗練させていきます。Cloudflareはボット管理にも同様のアプローチをとっていWebアプリにおける典型的な挙動を測定し、そのベースラインと新たな操作を比較してボットを判別します。
UEBAモデルでは、データの収集と分析を行う際、通常のパターンや企業のセキュリティポリシーから逸脱する行動を検出できます。たとえば、ユーザーが通常とは異なる場所から非日常的な時間にログインしている場合、これを識別することになります。このような挙動には、従業員の資格情報が盗まれたことを示している可能性があります。
UEBAの機能が異常な挙動や不審な挙動を識別した場合、その挙動が組織にもたらすリスクに基づいてユーザーリスクスコアを割り当てます。勤務時間中に数回ログイン試行が失敗すると、ユーザーがパスワードを忘れた可能性があり、スコアは低くなります。しかし、挙動における他の異常さが見られる場合、アカウントの侵害、企業ポリシー違反、またはデータ漏洩を示す可能性があります。UEBAに関連するリスク軽減行動を開始する可能性のあるリスクの高い行動の例としては、以下のようなものがあります。
UEBAは、いくつかの戦術的および戦略的なユースケースに対応できます。
UEBAを実装すると、組織に複数のメリットがもたらされます。
UEBAの導入には多くの潜在的な利点がある一方で、潜在的な欠点についても認識する必要があります。これには、次の例が挙げられます。
UEBAの機能は、以下を提供することにより、セキュリティ情報およびイベント管理SIEMソリューションを補完します。
SIEMとUEBAの機能を組み合わせることで、セキュリティの可視性を高め脅威を特定して阻止する組織の能力を強化すると同時に、コンプライアンスを維持することができるようになります。SIEMソリューションの中には、UEBA機能を組み込んでいるものが複数存在します。
UEBAとエンドポイント検出応答(EDR)ソリューションには、いくつかの類似点があります。どちらも、デスクトップ、ノートパソコン、スマートフォン、IoTデバイスなど、さまざまなエンドポイントを監視しています。さらに、UEBAのようなEDRソリューションは、挙動分析とMLを使用することで異常な不審な挙動を検出することができます。
一方でUEBAは、エンドポイントユーザーの挙動を分析することで、EDRソリューションの機能を補完・拡張することもできます。
UEBAは、Cloudflareの統合リスクポスチャーにおける主要コンポーネントとなっています。同統合リスクポスチャは、SASEとWebアプリを融合した機能スイートであり、セキュリティソリューションを単一のプラットフォームに統合したAPIとなっています。
Cloudflareにより、拡大する攻撃対象領域全体に自動かつ動的なリスク体制を評価、交換、強化し、管理の簡素化を図ることができます。
Cloudflareの統合リスクポスチャについて、詳細をご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集