はじめにセキュリティの世界では、日々進化する脅威に対抗するためにさまざまな技術が開発されています。その中でも「UEBA」という言葉を聞いたことはありますか?UEBAはセキュリティ領域で注目を浴びている重要な技術の一つです。この記事では、初心者の方に向けて、UEBAとは何か、なぜ重要なのか、その基本的な仕組みについて解説します。UEBAとは?UEBAは「User and Entity Behavior Analytics」の略であり、日本語では「ユーザーおよびエンティティ行動解析」と訳されます。UEBAは、組織内のユーザーやシステムの振る舞いをモニタリングし、異常なアクティビティや攻撃を検出するための手法です。通常のパターンから逸脱した行動を自動的に検知し、セキュリティ担当者にアラートを出すことができるセキュリティソリューションです。なぜUEBAが重要なのか?従来のセキュリティ対策は、ファイアウォールやアンチウイルスソフトウェアなどに依存してきましたが、これらの手法だけでは高度な脅威に対抗するのは難しくなってきました。特に、内部の管理特権者の権限を奪取しシステムを侵害するサイバー攻撃や従業員による内部不正による情報の持ち出しなどは、従来のセキュリティソリューションでは検知が難しく、よりプロアクティブな情報収集と分析が必要になります。UEBAは、通常とは異なるユーザーの振る舞いなどをより速やかに分析し、これらの脅威に対抗するための要となるソリューションです。SIEMとの違いSIEMは、Security Information and Event Managementの略で、これはシステムから生成される様々なログやイベントデータを収集、保存、分析するためのソリューションです。SIEMは、様々なログを相関分析することで、セキュリティアラートを発出します。しかし、企業において支店や部署ごとで相関分析を行う場合、それぞれに応じた脅威検出の設定を行う必要があり、非常に手間がかかってしまいます。UEBAでは、ログデータの相関分析作業をユーザーの行動に特化して行うことによって、それぞれの現場に適した行動の分析を行うことができます。企業において支店や部署ごとで相関分析を行う場合、それぞれに応じた脅威検出の設定を行う必要があり、非常に手間がかかってしまいます。課題1. 非効率な相関分析作業SIEMでは、一般的に、ログで検出された不審な行動に対して、それに紐づくIPアドレスをほかのデータソース上で絞り込み、関連するイベントを抽出して相関分析を行います。しかし、この方法では、その都度、目的に応じて抽出するイベントを変更し分析を行う必要がありました。特にユーザー単位などの分析は、インシデント発生時には頻発するため、作業効率上の大きなボトルネックでした。SIEMでも、十分な相関分析を行うことは可能だったものの、より効率よく個人やエンティティの行動に焦点を当てた分析技術が求められました。2. 従業員の内部不正働き方が柔軟になり、クラウドの利用が進んだ結果、従業員のITの利用はさらに複雑化しました。この中で、従業員による情報の持ち出しや不正な特権利用を検出することは、IT利用のリスク管理において非常に重要であるにもかかわらず、ユーザーの行動が様々なシステムやサービス上で行われるようになった結果、これらを検出することは非常に難しくなってきています。クラウド化が進む現在でも、従業員の内部不正は、企業にとって大きなリスクであり、これらを瞬時に判断できるセキュリティが求められました。UEBAの解決策UEBAの基本原則は、ユーザーやエンティティ(システム、アプリケーション、サービスなど)の通常の振る舞いを学習し、異常な振る舞いを検出することです。これを実現するために、以下のステップが含まれます。1. ユーザー単位で行われる行動分析UEBAでは、SIEMのようにイベントを抽出して行動を分析するだけではなく、ユーザーやエンティティごとの行動に特化して分析をすることが可能となりました。これにより、個々のユーザーに着目して、その状況認識と脅威への柔軟な対処が可能となりました。リモートワークなどの普及で、業務が会社以外の自宅やコワーキングオフィスなどで行われることが増えてきました。従来のSIEMでは、環境に応じた細かな相関分析は非常に大変なものでしたが、ユーザーに着目するUEBAでは、それぞれの従業員毎などに着目してそれぞれの環境に応じた行動の分析が迅速に行えるようになりました。2. ユーザーの異常から見つける内部不正ユーザーに着目した分析が実現できるようになった結果、UEBAでは、ユーザーの平素の振る舞いを学習し、普段とは異なる作業や操作を行なったものを異常として検出する振る舞い検知が可能となりました。従来であれば、従業員の作業や操作は正しいものとして記録され、個々のセキュリティ対策ツールではそれらに対してのアラートを発報することはありませんが、UEBAでは従業員の振る舞いなどを学習することで、より高度な内部不正の発見を可能としています。これにより、大規模・複雑化するITにおける従業員の内部不正について迅速に発見でき、企業のITリスクをコントロールできるようになりました。まとめUEBAはセキュリティの分野で進化する脅威に対抗するための重要なツールです。ユーザーやエンティティの通常の振る舞いを学習し、異常な活動を検出することで、従来のセキュリティ対策では見過ごされていた攻撃や脅威に対応できるようになります。UEBAの導入によって、組織のセキュリティレベルを向上させ、貴重なデータやリソースを守る一翼を担うことができるでしょう。