従来の サイバーセキュリティツールの 多くは、統計分析とユーザー定義の相関ルールだけで行動パターンの異常や逸脱を特定していました。これらのツールは既知の脅威を阻止するのには効果的ですが、未知の攻撃やゼロデイ攻撃、内部脅威に関しては時代遅れです。しかし、UEBAセキュリティでは、SOCチームはユーザー定義のルールやパターンに依存することなく、 企業ネットワーク全体やコンピュータ・システム全体の異常な動作を自動的に検出 することができます。UEBAは、ML、ディープラーニング、統計解析のパワーを組み合わせることで、より包括的な 脅威検知ソフトウェアを SOCチームに提供 し、 組織が複数のユーザーやエンティティにわたる複雑な攻撃を自動的に検知できるようにします。さらに、UEBAソリューションは、ログやレポートのデータをグループ化したり、ファイルやパケットの情報を分析したりすることができます。

概要

UEBA（User and Entity Behavior Analytics）とは、機械学習（ML）、ディープラーニング、統計分析を用いて、企業ネットワークやコンピュータシステム上のユーザーやエンティティ（ホスト、アプリケーション、ネットワークトラフィック、データリポジトリなど）の通常の行動パターンを特定するサイバーセキュリティソリューションの一種である。これらの行動パターンからの異常や逸脱が検出され、リスク・スコアが指定されたしきい値を超えると、UEBAソリューションはセキュリティ・オペレーション・センター（SOC）チームに潜在的な脅威やサイバー攻撃が進行中かどうかを警告する。

UEBAは、特に多くのレガシー・ツールが急速に時代遅れになりつつある現代組織のサイバー・セキュリティ・スタックに不可欠なツールである。サイバー犯罪者やハッカーがより巧妙になるにつれ、彼らはセキュア・ウェブ・ゲートウェイ（SWG）やファイアウォール、その他の侵入防止ツールといった従来の境界防御システムをより簡単に回避できるようになっている。

UEBAに馴染みのない方は、このガイドをご覧ください。以下では、UEBAセキュリティとは何か、どのように機能するのか、ユーザー行動分析（UBA）とUEBAの違い、UEBAのベストプラクティスについて説明します。

ユーザーとエンティティの行動分析（UEBA）

UEBAのセキュリティとは？

従来のサイバーセキュリティツールの多くは、統計分析とユーザー定義の相関ルールだけで行動パターンの異常や逸脱を特定していた。これらのツールは既知の脅威を阻止するのには効果的だが、未知の攻撃やゼロデイ攻撃、内部脅威に関しては時代遅れだ。しかし、UEBAセキュリティでは、SOCチームはユーザー定義のルールやパターンに依存することなく、企業ネットワーク全体やコンピュータ・システム全体の異常な行動を自動的に検出することができる。

UEBAは、ML、ディープラーニング、統計解析のパワーを組み合わせることで、SOCチームにより包括的な脅威検知ソフトウェアを提供し、組織が複数のユーザーやエンティティにわたる複雑な攻撃を自動的に検知できるようにします。さらに、UEBAソリューションは、ログやレポートのデータをグループ化したり、ファイルやパケットの情報を分析したりすることができる。

UEBAのセキュリティはどのように機能するのか？

UEBAは、システムログから通常のユーザーやエンティティの行動パターンに関する情報を収集することで機能する。そして、インテリジェントな統計分析手法を適用して各データセットを解釈し、これらの行動パターンのベースラインを確立する。行動パターンのベースラインを確立することはUEBAにとって重要であり、これによりシステムは潜在的なサイバー攻撃や脅威を検知することができる。

UEBAソリューションでは、現在のユーザーとエンティティの行動が、それぞれのベースラインと継続的に比較される。その後、UEBAサイバー脅威インテリジェンス・ソフトウェアがリスク・スコアを計算し、行動パターンの異常や逸脱が危険かどうかを特定する。リスクスコアが一定の上限を超えると、UEBAシステムはSOCチームメンバーに警告を発する。

例えば、あるユーザーが毎日定期的に5MBのファイルをダウンロードしていたのに、突然ギガバイト相当のファイルをダウンロードし始めた場合、UEBAソリューションはこのユーザーの行動パターンの逸脱を特定し、セキュリティ脅威の可能性があることをIT部門に警告する。

ガートナーによると、UEBAソリューションは3つのコア属性によって定義される：

ユースケース：UEBAソリューションは、ユーザーとエンティティの両方の行動パターンを分析、検出、レポート、監視できなければならない。また、過去のポイント・ソリューションとは異なり、UEBAは、トラステッド・ホストのモニタリングや不正行為の検知といった専門的な分析だけに焦点を当てるのではなく、複数のユースケースに焦点を当てるべきである。
分析：UEBAソリューションは、1つのパッケージで複数の分析アプローチを使用して行動パターンの異常を検出できる高度な分析機能を提供する必要がある。これには統計モデルや機械学習（ML）、ルールやシグネチャーなどが含まれる。
データソース：UEBAソリューションは、データソースから、あるいは既存のデータリポジトリ（セキュリティ情報・イベント管理（SIEM）、データウェアハウス、データレイクなど）を通じて、ユーザーやエンティティのアクティビティからデータを取り込むことができなければならない。

UBAツールとUEBAツールの違い

ガートナーによって定義されたUser Behavior Analytics（UBA）は、UEBAの前身であり、ネットワークやコンピュータシステム上のユーザーの行動パターンを厳密に分析するサイバーセキュリティツールであった。UBA ソリューションは、依然として高度な分析を適用して行動パターンの異常を特定するものの、ルーター、サーバー、エンドポイントなどの他のエンティティを分析することはできませんでした。

ガートナーは後にUBAの定義を更新し、ユーザーとエンティティ（個別またはピアグループ）の両方の行動分析を含むUEBAを作成した。UEBAソリューションは、ユーザー定義の相関ルールに依存するのではなく、個人、デバイス、ネットワーク（クラウドベースのネットワークを含む）を横断して、内部脅威（データ流出など）、高度な永続的脅威、ゼロデイ攻撃などの複雑な攻撃を認識するためにMLとディープラーニングを使用するため、UBAソリューションよりも強力です。

UEBAのベストプラクティス

経験則として、UEBAツールは、CASBや侵入検知システム（IDS）のような既存のサイバーセキュリティツールや監視システムに取って代わるべきものではない。むしろ、UEBAを全体的なセキュリティ・スタックに組み込んで、組織の包括的なセキュリティ態勢を強化すべきである。その他のUEBAのベストプラクティスは以下の通り：

指定されたITメンバーのみがUEBAシステムアラートを受け取れるようにする。
特権ユーザーアカウントと非特権ユーザーアカウントの両方が潜在的に危険であると考える。
内部と外部の脅威の両方を念頭に置いて、新しいポリシーとルールを作成する。
UEBAをSIEMのようなビッグデータ・セキュリティ分析と組み合わせることで、複雑な脅威や未知の脅威をより効果的に検知・分析できるようになる。

CyberRes Arcsight IntelligenceによるUEBAの導入

高度なユーザーおよびエンティティの行動分析に関して、CyberRes（Micro Focusの事業部門）のArcsight Intelligenceは、複雑なサイバー脅威から組織を保護するのに役立ちます。企業内のユーザーとエンティティの行動パターンを文脈に合わせて表示するUEBAツールは、内部脅威やAPTなどの脅威を可視化し、手遅れになる前に調査するための包括的なツールをSOCチームに提供します。

ArcSight行動分析でインサイダーの脅威を阻止する

さらに、当社の異常検知モデルは、すべてのユーザーやエンティティから同じ行動パターンを期待しないため、偽陽性のアラートの洪水に対処する必要がありません。ArcSight Intelligenceを使用することで、当社のソフトウェアは、サイバー脅威をより正確に特定するために、数学的確率と教師なしMLを利用することで、異常な行動と実際の脅威の明確な区別を確立します。

ArcSight IntelligenceがどのようにUEBAソリューションを活用し、SOCチームが企業ネットワーク内の隠れた脅威を迅速に発見できるかをご覧になりたい場合は、今すぐデモをリクエストしてください。

Resources

Insider threat: A problem too advanced for machine alone

Humans and machines podcast: Insider threat AI, in the real world