UEBAとは?UEBAとは「User and Entity Behavior Analytics」の略で、ユーザーやエンティティ(サーバー、デバイス、ネットワークなど)の行動を分析し、異常な行動を検知するセキュリティソリューションのことで、2015年にGartner社によって定義されました。UEBAは、機械学習やAIを活用して、ユーザーやエンティティの通常の行動を学習し、その行動から逸脱した異常を検知・可視化することで、サイバーセキュリティ上の脅威を早期に発見する役割を担います。セキュリティソリューションは主に外部からのサイバー攻撃に対するいわゆる"外部脅威(リスク)"に対する機能を提供してきましたが、UEBAは、従業員による不正行為や、サイバー攻撃によるアカウント侵害など、組織内部からの脅威を検知する"内部脅威(リスク)"のソリューションとして、近年導入が活発になっています。SIEM(Security Information and Event Management)との違いは?主に焦点が異なります。SIEMの焦点は、ログデータの収集・管理、相関分析、ルールベースの異常検知となり既知の脅威の発見に強いです。UEBAはユーザーやエンティティの行動パターンの学習、機械学習による異常検知になり、未知の脅威や内部不正の可視化に強いと言えます。両者の関係はUEBAの観点からすると、SIEMはUEBAのデータを収集する基盤として活用できるツールと言えます。昨今『次世代SIEM』としてSIEMの中にUEBAの機能を提供するプロダクトも存在します。EDR(Endpoint Detection and Response)との違いは?UEBAとEDR は、どちらもセキュリティに関する脅威を検知し、対応するためのソリューションですが、そのアプローチと期待できる効果(対象範囲)が異なります。UEBAは、ユーザーやエンティティの行動を分析することで異常な振る舞いを検知するのに対し、EDRはエージェントをインストールしたPC端末やサーバの挙動を監視し、EPPで駆除できない巧妙な標的型攻撃、ランサムウェア感染(ラテラルムーブメント含む)などの外部から侵入した脅威を検出します。SIEMと同じく両者は、アプローチと期待できる効果が違うため、どちらか一方で事足りるものではなく、両者ともに重要なセキュリティソリューションになります。UEBAを導入する効果以下に具体的なUEBA導入における効果を説明します。(1)振る舞いのモデリングユーザーやエンティティの正常な行動を学習し、基準とするモデルを作成します。これにより、通常の行動から逸脱した行動(異常な行動)を検知することが可能となります。(2)アラートと操作ブロック異常行動や高リスクの行動を検知すると、リアルタイムでアラートを発し、SASEやIPSと防御ルールとして連携すれば、検知だけでなく制御・防御することも可能になります。(3)脅威検出の自動化AIが搭載されたUEBAにて機械学習と行動分析を活用すれば、運用者がルール作成(検知ポリシー作成)に落とし込み辛い異常検知が可能です。企業は運用者のサイバーセキュリティに関する専門知識の不足を補うことができます。(4)アカウント侵害の検知正規のユーザーはパスワードを間違えずにログインすることが殆どで、間違えても1回か2回、多くて3回です。ところが、アカウント侵害を行うサイバー攻撃者の場合は、総当たり攻撃を行い、何度もパスワードを間違えるなどの不審な行動をします。そのため、UEBAは、そのような不審な行動からアカウント侵害を行うユーザーの異常行動を検知できます。UEBAを導入する際のポイント以下にUEBA導入のポイントを解説します。(1)目的と要件の明確化セキュリティの目的と要件を明確に詳細に定義します。UEBAに限らず、製品を導入するに当たって最も重要な工程と言えるでしょう。どのような脅威やリスクに対処する必要があり、どのようなデータや行動パターンを監視する必要があるのかを明確にします。また分析するログの提供先となるセンサーなど適切なインフラストラクチャの準備が必要です。「ユーザ毎の振舞検知をしたい...」といったざっくりとした目的・要件でUEBAを導入すると、適切なインフラストラクチャの準備ができず、UEBAの本来の効果を得ることができず、プロジェクトが失敗する恐れがあります。(2)IDの統一UEBAはユーザやエンティティの振る舞いを監視・分析し、異常を見つけるものです。そのため一人のユーザがシステムごとに別々のIDを持っていれば、それは別のユーザとして認識されてしまい一貫性のある分析ができなくなります。UEBAを導入する際は"IDを統一させる" または "メタデータなどからログを正規化する(IDを紐づける)仕組" が必須となります。(3)他のセキュリティソリューションとの連携UEBAが検知した異常行動について、SIEMで詳細なログ分析を行うなど、それぞれのツールの強みを活かした連携が必要です。例えば、UEBAが異常なログインを検知した場合、SIEMではそのログインのログを詳細に分析し、攻撃者がどこから侵入したかなどを特定することができます。まとめリモートワークが当たり前となり働き方の環境が大きく変わりつつある今、セキュリティ対策も外部からの脅威に備えるだけでなく、ニューノーマル時代に対応できるものでなければなりません。また便利なクラウドサービスが増える一方、企業が把握していない"シャドーIT"の利用も、特定部門や現場従業員の間で増えています。ユーザーやエンティティの振る舞いを監視し、分析することで不正な振る舞いを早期に発見できるUEBAを用いれば、インシデントが起こる前に内部不正を発見し、情報漏えいなどの内部脅威(リスク)を大きく低減することが可能です。スカイゲートテクノロジズでは、SIEM/最新のAIを使ったUEBAの機能を有する次世代SIMEの『Cygiene Analytics』を提供しています。『Cygiene』について、ぜひお問合せください。