ユーザーとエンティティの行動分析(UEBA)

ユーザーとエンティティの行動分析とは?

UEBA(User and Entity Behavior Analytics)とは、人間の行動と、ホスト、ソフトウェア・プラットフォーム、エンドポイントなどのエンティティの行動に焦点を当てた、アルゴリズムによるネットワーク・モニタリングのアプローチです。UEBA ソリューションは、機械学習を通じて、ネットワーク上の「正常な」行動を構成するベースラインを確立します。そして、このベースラインを使用して、潜在的な脅威行為者や侵害されたシステムを特定します。

脅威行為者は、攻撃を仕掛ける際に単一の侵害されたアカウントを活用することはほとんどありません。彼らの手口は、静的なルールに重点を置くセキュリティを混乱させるように設計されていることが多い。インサイダーの脅威は、レガシー・ソリューションでは特に検知が困難です。

最後に、ルール・ベースのセキュリティ・ソリューションは、当社 のほとんどが現在運営しているダイナミックで境界のないエコシステムには適していない。

UEBAはこうした課題への対応として進化した。事前に定義されたフラグではなく、リアルタイムの挙動に焦点を当てることで、企業は可能性のある脅威をより迅速かつ正確に検出することができます。エンドポイント・プロテクションや エクステンデッド・ディテクション・アンド・レスポンスとともに、UEBAはゼロ・トラスト・ネットワーク・アクセスの重要なコンポーネントであり、継続的な認証などのプロセスに必要なサポートを提供します。

ユーザーとエンティティの行動分析

UEBAのメリット

UEBAを採用するメリットは以下の通りである:

  • セキュリティチームの負担軽減
  • 注意力疲労の軽減
  • オーバーヘッドの削減
  • 内部脅威からの保護強化
  • クラウドおよびIoT資産の管理/監視

UEBAは静的なルールやシグネチャに依存しないため、ゼロデイ脅威や未知の攻撃パターンからの保護に適しています。これにより、セキュリティ・チームの作業も大幅に簡素化されます。想定されるあらゆるシナリオに対応するルールを苦労して設定する代わりに、ミティゲーションとレスポンスに集中することができます。

UEBAは機械学習に基づいて構築されているため、アクションが正常か疑わしいかを識別する精度が徐々に向上します。その結果、誤検知が減り、全体的な通知量も減少します。さらに、社内の脅威行為者は行動分析によってはるかに容易に検出されるため、UEBAは悪意のある内部関係者と不注意者の両方に対する保護も改善します。

その他のUEBA特典

  • 適応的で動的なセキュリティポリシー
  • 高度な脅威の検出までの時間を短縮
  • 検出精度の向上
  • セキュリティ・ポリシーの管理強化
  • 請負業者やリモートスタッフのセキュリティ強化
  • 非マルウェアベースの攻撃の検出

UEBAの仕組み

UEBAはベースライン上に構築されている。その核となる考え方は、脅威行為者が誰かのアカウントを侵害することに成功したとしても、その個人の行動を模倣することはできないということだ。同様に、内部関係者が突然異常な行動を取り始めた場合、UEBAツールはその行動にフラグを立てて調査することができる。

しかし、UEBAはユーザーだけに焦点を当てているわけではない。エンドポイントやソフトウェア・プラットフォームなど、ネットワーク上の人間以外のエンティティの振る舞いも分析する。UEBAソリューションの中には、さらにフォーカスを広げてイベントを含めるものもある。

UEBAソリューションは、そのスコープが何であれ、ベースラインを確立するために多数のデータソースを分析する:

  • 脅威インテリジェンス
  • 侵入検知防御システム (IDPS)
  • ネットワーク監視フィード
  • システムログ
  • VPN活動
  • EDRまたはXDRシステム
  • データベース
  • 認証システム
  • 従業員記録

上記から引き出された関連データは以下の通り:

  • アクセス
  • 時間帯
  • アクセス頻度
  • 代表的なファイルまたはサーバー
  • 代表的なアプリケーションまたはサービス
  • 役割、権限、パーミッション
  • デバイスタイプ

この情報が完全に咀嚼され、文脈化されると、UEBAは次に各ユーザーとエンティティのリスクスコアを定義する。基準値から逸脱する活動が発生するたびに、そのスコアは上昇する。最終的に、そのスコアが事前に定義されたしきい値に達すると、そのユーザやエンティティはセキュリティ・チームの注意を喚起される。

先進的なUEBAソリューションの中には、複数のシステムからのデータをオーケストレーションして集約し、セキュリティ・インシデントや破壊的イベントのタイムラインを構築できるものもある。このプロセスはセッション・スティッチングとして知られている。

UEBAの「3つの柱

その中で ユーザーとエンティティの行動分析に関するマーケットガイドガートナーは 、UEBAソリューションの定義を3つのカテゴリーに基づいて確立している。

使用例

UEBAの主なユースケースは、様々な脅威の検知である。しかし、ガートナーが何かを「純粋なUEBAプラットフォーム」とみなすためには、汎用的なアプローチを取ることはできない。その代わりに、複数の特徴的なユースケースを定義し、それに対応する必要がある。

データソース

ピュアプレイのUEBAプラットフォームは、データソースからのネイティブな取り込み、ログ管理やSIEMツールとの統合、データレイクからの取り込みなど、データを収集しオーケストレーションする複数の方法を提供します。専用のインスツルメンテーション・エージェントがなくてもこれを実現できる。

アナリティクス

ピュアプレイのUEBAは、高度で洗練されたアナリティクスを重視する。そのためには、プラットフォームが実現しようとする個々のユースケースに合わせてカスタマイズされたアナリティクス・モデルを使用する必要がある。これらのアナリティクス手法とプロセスは、必要に応じて基本的なアナリティクスによってサポートされるべきである。

UEBA導入のベストプラクティス

効果的なベースラインを構築し、サイバーセキュリティ態勢にUEBAを導入するためには、以下のステップが極めて重要です:

  • 組織のリスクプロファイルを理解する。
  • UEBAをどのように使用するつもりなのか、つまりこの展開でどのようなユースケースに対応するのかを決定する。
  • UEBAソリューションが使用するデータソースを特定する。
  • どのビヘイビアがユースケースに関連するかを定義する。
  • 誰が、いつ、UEBA通知を受け取るかを決定する。
  • 内部および外部のユーザーとエンティティの両方について説明する。
  • プロセスとポリシーがUEBA導入と整合していることを確認する。
  • UEBAソリューションを定期的かつ包括的にテストする。

UEBAの使用例

UEBAは通常、ガートナーが定義した以下のユースケースのいずれか、またはすべてで活用することができる。

悪意のある内部脅威の検知

外部の脅威行為者を特定するのは比較的簡単である。信頼できるユーザーに悪意があるかどうかを判断するのは、かなり難しい。そのためには、電子メールの内容、業績評価、ソーシャルメディアでの存在感など、システムログをはるかに超える行動データの分析が必要です。

高度な持続的脅威に対する防御

高度な持続的脅威や未知の脅威は、検知や軽減が非常に困難です。それらは複雑なキルチェーンをたどることが多く、まだ危険と認識されていない手口や振る舞いを特徴とします。UEBAを使えば、信頼できるユーザー、アカウント、デバイスが侵害された場合、必然的にベースラインから外れた振る舞いをするため、その特定がはるかに容易になります。

また、特権的なアクセス権を持つ人物が、機密資産を不注意に扱った場合の検知にも応用できる。

データ流出の防止

UEBAはまた、データ損失防止やデータアクセス・ガバナンス・ソリューションを補強するために使用することもできます。これにより、これらのツールのS/N比が大幅に改善され、悪意のあるインサイダーの活動を検出する別の手段が提供されます。

アラートとインシデントの管理と優先順位付け

大量のアラートを受信するセキュリティチームにとって、焦点を絞ることは困難です。UEBAは、ベースラインデータを活用して、どのアラートやインシデントが特に異常または破壊的であるかを特定することができる。一般的には、この目的のために行動データだけでなく、企業の従業員や資産に関する情報も活用します。

アイデンティティとアクセス管理(IAM)

大規模な組織において、アクセス権限や権限を管理することは非常に難しいことです。UEBAを利用することで、本来与えられるべき権限を超えているユーザーを特定することができます。休眠アカウントの一掃や最小権限の適用に加え、横の動きの検知にも役立ちます。

UEBAとSIEMの比較

その目的の類似性から、セキュリティ・インシデント・イベント管理(SIEM)をUEBAと相互に排他的なものと見なしたくなるかもしれない。これは正確な評価ではない。UEBAとSIEMソリューションは、ユースケースにおいて重複する部分はあるものの、その目的は異なります。

そして、この2つは非常にうまく連動している。  

ガートナーがUEBAを別個のテクノロジーとしてではなく、SIEMの拡張機能として捉えているのはおそらくこのためだろう。その理由を理解するのは難しくない。SIEMソリューションはUEBAツールの貴重なデータソースとして機能し、UEBAツールはより洗練された脅威の検知と分析を提供する。

よくあるご質問

UEBAとは何の略ですか?

UEBAとは、User and Entity Behavior Analyticsの略。

UEBAのセキュリティとは?

UEBAソリューションは、洗練された機械学習により、既存のサイバーセキュリティの実践とプロセスを強化します。ZTNA、XDR、EPPと組み合わせることで、セキュリティと事業継続に対するより現代的で完全なアプローチを構成します。

UEBAツールとは何か?

UEBAツールとは、UEBA機能を内蔵したソフトウェアやプラットフォームのこと。ピュアプレイ(完全にUEBA専用)である場合もあれば、エンベデッド(全体的な機能の一部としてUEBAが含まれている)である場合もある。

"エンティティ "とは何か?

UEBAの文脈では、エンティティとは、自律的に、あるいは人間の行為者の指示によって、ネットワーク上で行動できる人間以外の要素を指す。これには以下が含まれるが、これらに限定されるものではない:

  • エンドポイント
  • ソフトウェアとアプリケーション
  • モバイル機器
  • その他のネットワークまたは組織
  • ネットワーク・ハードウェアなどのITシステム
  • 人間以外の脅威(ランサムウェア、マルウェアなど)
  • その他の事業

UEBAとUBAの違いは何ですか?

UBA(User Behavior Analytics)は人間の行動のみに焦点を当てる。一方、UEBAでは、ユーザーの行動に加え、ネットワーク上のデバイスやマシンの行動も分析する。また、UEBAはUBAよりも外部の脅威に重点を置いている。

これはさておき、両者はほぼ同じである。  

UEBAの3本柱とは?

ガートナーが定義するUEBAの3本柱とは、UEBAソリューションやフレームワークが効果的であるために採用すべき中核機能である。これらは以下の通りである:

  1. ユースケース。 UEBAは複数の特徴的なユースケースを定義し、対応しなければならない。
  2. データ UEBAソリューションは、データレイク、データリポジトリ、SIEM経由など、事前に定義された複数のデータソースから、専用のインスツルメンテーション・エージェントなしでデータを取り込むことができなければならない。  
  3. 分析。 UEBAでは、統計モデル、ルールベースのモニタリング、行動分析、脅威シグネチャの検出など、複数の脅威モデリングや機械学習技術を活用した、アルゴリズムによるサイバーセキュリティへの比較的複雑なアプローチが求められます。

UEBAとSIEMの違いは?

セキュリティ情報・イベント管理(SIEM)ツールは、システム・イベント・データを集約し、文脈化することで、アクティブな脅威をより効果的にリアルタイムで管理できるようにします。UEBAはイベントよりも振る舞いに重点を置いているため、SIEMでは見落としてしまうような高度な攻撃も検知することができる。UEBAとSIEMは相互に排他的なものではないことに注意することが重要である。ガートナーは実際に、UEBAは最新のSIEMプラットフォームの機能であると考えている。

なぜUEBAが重要なのか?

ビジネスの運用環境はますます複雑化し、ダイナミックになっている。このようなエコシステムに準拠するためにルールベースのセキュリティ・システムを構成することは、せいぜい無理な話だ。さらに重要なことは、現代の脅威者は賢いということです。彼らの手口は、予防に重点を置いたレガシー・セキュリティ・ソリューションを混乱させるように設計されていることが多い。

UEBAはまた、ZTNA(Zero Trust Network Access)において重要な役割を果たし、企業が誤検知や不要なアラートを減らすのに役立つ。

CylancePERSONA UEBA用

ワークフォースはかつてないほどダイナミックになり、適応性も高まっています 組織が静的なルールベースのセキュリティ・ソリューションに依存できるような世界ではもはやありません。

BlackBerry がお手伝いします。完全なソリューションであるBlackBerry Spark®Suite の一部としてCylanceGUARDは、機械学習と高度な予測人工知能を組み合 わせて、ユーザーの作業方法と場所に基づいてセキュリ ティポリシーを動的に定義および調整します。CylancePERSONA を利用することで、従業員が適切な方法で、適切な場所で働くことができるようになり、同時に最も機密性の高い重要な資産を安全に保護することができます。

詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース