UEBAとは

ユーザーとエンティティの動作分析(UEBA)は、不審な動作や疑わしい動作を特定し、リスク軽減を支えるものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「UEBA」の定義
  • UEBAの仕組みを理解する
  • UEBAの主要なユースケースと利点

記事のリンクをコピーする

UEBAとは

ユーザーとエンティティの挙動分析(UEBA)は、データ分析と機械学習(ML)を使用して、ユーザー、デバイス、その他のエンティティによる異常かつ潜在的に危険な動作を検出する一連のサイバーセキュリティ機能です。2015年にGartner社が作り出したこの用語は、ユーザー挙動分析UBAの概念を拡大し、サーバーやルーター、スマートフォン、モノのインターネット(IoT)デバイスに至るまで、デバイスとエンティティの挙動までを含めたものとなっています。

UEBAは、典型的なユーザーとデバイスの動作を判定し、その動作からの逸脱を特定してセキュリティリスクに応じた逸脱をスコア付けします。たとえば、ある従業員が通常サンフランシスコから午前8:00(PT)にクラウドメールにログインしているとします。その従業員が数時間後にロンドンから顧客データベースにログインし、大量の機密情報や専有情報をダウンロードし始めた場合、UEBAはこれを異常であり潜在的に高リスクの行動と識別します。

UEBAは、あらゆる行動を精査し典型的な行動との相違点を見つけ、組織の脅威ハンティングおよびリスク管理の取り組みにおいて重要な役割を果たします。UEBAは、既存のセキュリティ機能を補強し、Zero Trustセキュリティモデルを支え、規制要件へのコンプライアンス維持を支援するものです。

UEBAの仕組み

UEBAの機能では、まず次のような幅広いデータを調査することで、典型的なユーザーとデバイスの動作のベースラインを確立します。

  • ユーザーアクティビティ — ログイン試行、ファイルアクセス、アプリケーションの使用状況、システムコマンド
  • ネットワークトラフィック — 送信元と送信先のIPアドレス、ポート、プロトコルなど
  • 認証データ — ログインの成功と失敗

そのデータは、セキュアWebゲートウェイZero Trustネットワークアクセスサービス、データ損失防止(DLP)サービス、ファイアウォールルーターVPNIDとアクセス管理IAMソリューション、侵入検知および防止システム(IDPS)、ウイルス対策ソフトウェア、認証データベースなどに関連しています。これらのセキュリティサービスとソリューションは、セキュアアクセスサービスエッジ(SASE)セキュリティサービスエッジ(SSE)プラットフォームの一部となっている場合があります。

ML機能は、継続的に取り込まれたデータから学習し、時間をかけて動作のベースラインを洗練させていきます。Cloudflareはボット管理にも同様のアプローチをとっていWebアプリにおける典型的な挙動を測定し、そのベースラインと新たな操作を比較してボットを判別します。

UEBAモデルでは、データの収集と分析を行う際、通常のパターンや企業のセキュリティポリシーから逸脱する行動を検出できます。たとえば、ユーザーが通常とは異なる場所から非日常的な時間にログインしている場合、これを識別することになります。このような挙動には、従業員の資格情報が盗まれたことを示している可能性があります。

UEBAの機能が異常な挙動や不審な挙動を識別した場合、その挙動が組織にもたらすリスクに基づいてユーザーリスクスコアを割り当てます。勤務時間中に数回ログイン試行が失敗すると、ユーザーがパスワードを忘れた可能性があり、スコアは低くなります。しかし、挙動における他の異常さが見られる場合、アカウントの侵害、企業ポリシー違反、またはデータ漏洩を示す可能性があります。UEBAに関連するリスク軽減行動を開始する可能性のあるリスクの高い行動の例としては、以下のようなものがあります。

  • 不可能な移動:ユーザーが2つの異なる場所から物理的に不可能な時間帯にログインした場合(たとえば、ニューヨークにいる従業員「アリス」が組織の給与システムにログインするが、その数分後にシドニーからクラウド生産性スイートにログインした場合)
  • データ損失防止(DLP)違反:ビジネス機密情報、個人を特定できる情報、またはその他の機密データの移動が誤って処理された場合(例えば、従業員が企業の社外秘データをサードパーティAIチャットボットにアップロードした場合)
  • リスクの高いデバイスの使用:リモート従業員が最新のOSアップデートが適用されていないラップトップを使用していたり、パッチが適用されていない脆弱性のあるルーターを使用していたりする場合

UEBAのユースケース

UEBAは、いくつかの戦術的および戦略的なユースケースに対応できます。

  • Zero Trustセキュリティ:Zero Trustは、企業ネットワーク上のアプリやデータにアクセスしようとするすべての人とデバイスのアイデンティティを検証するITセキュリティモデルです。UEBAの機能は、Zero Trustネットワークアクセス(ZTNA)ソリューションを補完する、あるいはその構成要素となることができます。セキュリティチームはUEBAの機能niyori、誰がネットワークにアクセスしているか、どのデバイスを使用しているか、ユーザーとデバイスがポリシーに違反していないかどうかを確認できます。リクエストのコンテキスト、soshiteリクエストが典型的なユーザーの行動と一致するかどうかの評価に基づき、アクセスを許可できます。
  • 侵害されたエンドポイント:攻撃者は、企業のサーバーやアプリに比べて保護されていないことが多いモバイルデバイスやIoTデバイスにおいて侵入のきっかけを見つける可能性があります。UEBAでは、デバイスの挙動を監視することで、攻撃者が企業ネットワークに深く侵入する前に侵害されたデバイスを発見できます。
  • 内部脅威:行動分析は、企業ネットワークを攻撃したり、機密データを盗もうとするユーザーなど、悪意のあるインサイダーを特定するのに役立ちます。同時に、UEBAは、フィッシング攻撃やデバイスの盗難など、ユーザーの資格情報やデバイスがいつ侵害されたかを判断するのにも役立ちます。UEBAは、正当な資格情報が使われていたとしても、不審な挙動を発見できるのです。
  • 規制コンプライアンス:金融サービス医療機関のITセキュリティとデータプライバシーを管理する規制など、標準や規制へのコンプライアンスの維持にUEBAが活躍します。UEBAは、確立されたポリシーや規範から逸脱するユーザーとデバイスの動作を特定することで、組織が重要な規則や規制のコンプライアンスを損なう前に問題を発見できます。

UEBAのメリットとは?

UEBAを実装すると、組織に複数のメリットがもたらされます。

  • リスクの低減:UEBAはネットワークに接続されたあらゆるユーザーとデバイスに適用できるため、組織の攻撃対象領域が拡大した場合でもリスクの低減に役立ちます。UEBAは、従業員が仕事をするのが自宅、オフィス、その他の場所であったとしても、ユーザーの行動を分析できます。また、企業のデータセンター内のサーバーやルーター、工場内のIoTデバイス、病院内の医療用デバイスなど、あらゆる場所のデバイスの動作を監視することもできます。
  • 不正検出の改善:UEBAは、内部脅威、安全性が損なわれたアカウント、総当たりパスワード攻撃分散型サービス拒否攻撃(DDoS)攻撃など、複数のタイプの攻撃を識別して阻止するのに役立ちます。
  • 手動による分析の必要性の低減:機械学習と自動化機能により、セキュリティ運用(SecOps)チームによる正当な脅威の特定のためのログデータ分析作業の時間を減らせます。結果として、IT・セキュリティチームメンバーが他のタスクに集中できるようになります。
  • コンプライアンスの維持:UEBAは、大規模な侵害につながる前に問題のある挙動を迅速に特定することで、組織のコンプライアンスの維持を可能にします。また、継続的な監視と分析により、監査の合理化および高価で大規模な修復作業の回避につながります。
  • コスト:の低減脅威を早期に特定することにより、漏えいにより発生する膨大なコストを回避できます。

UEBAの欠点は?

UEBAの導入には多くの潜在的な利点がある一方で、潜在的な欠点についても認識する必要があります。これには、次の例が挙げられます。

  • コスト:スタンドアロンのUEBAソリューションの中には、中小企業にとっては高価すぎるものもあります。
  • 複雑性:MLと自動化機能により、人の手によるイベントログの分析の必要性は減るものの、ポリシーの設定とアラートへの対応には依然としてセキュリティアナリストが必要になります。
  • 制限:事項UEBAは幅広い脅威を特定することができる一方、より包括的で統一されたリスク管理のためには他の機能との統合が必要です。

UEBAによるSIEMの補完の在り方

UEBAの機能は、以下を提供することにより、セキュリティ情報およびイベント管理SIEMソリューションを補完します。

  • ユーザーに焦点を当てる:SIEMがイベントを分析するのに対し、UEBAはユーザーとデバイスの動作を調べるため、ユーザーのリスクを評価した上での内部脅威の検出ができます。
  • 長期的な脅威追跡:SIEMは、リアルタイムでセキュリティイベントを識別します。UEBAは、継続的な行動の監視とスコアリングにより、長期的で進化する脅威を特定することでその機能を補完します。
  • 継続的な学習と適応:UEBAは、行動分析とMLを用い、時間をかけて学習と適応を進めます。その結果、UEBAモデルは、人手を必要とせずに新たな脅威を特定することでSIEM機能を強化できます。

SIEMとUEBAの機能を組み合わせることで、セキュリティの可視性を高め脅威を特定して阻止する組織の能力を強化すると同時に、コンプライアンスを維持することができるようになります。SIEMソリューションの中には、UEBA機能を組み込んでいるものが複数存在します。

UEBAとEDRの比較

UEBAとエンドポイント検出応答(EDR)ソリューションには、いくつかの類似点があります。どちらも、デスクトップ、ノートパソコン、スマートフォン、IoTデバイスなど、さまざまなエンドポイントを監視しています。さらに、UEBAのようなEDRソリューションは、挙動分析とMLを使用することで異常な不審な挙動を検出することができます。

一方でUEBAは、エンドポイントユーザーの挙動を分析することで、EDRソリューションの機能を補完・拡張することもできます。

CloudflareはUEBAをサポートしているか

UEBAは、Cloudflareの統合リスクポスチャーにおける主要コンポーネントとなっています。同統合リスクポスチャは、SASEとWebアプリを融合した機能スイートであり、セキュリティソリューションを単一のプラットフォームに統合したAPIとなっています。

Cloudflareにより、拡大する攻撃対象領域全体に自動かつ動的なリスク体制を評価、交換、強化し、管理の簡素化を図ることができます。

Cloudflareの統合リスクポスチャについて、詳細をご覧ください。