ユーザーおよびエンティティーの行動分析（UEBA）とは

UEBAソリューションは、データ分析と機械学習を通じてセキュリティーに関する洞察を提供します。UEBAシステム内の行動分析ツールは、複数のソースから大量のデータを取り入れて分析し、特権のあるユーザーやエンティティーが通常どのように動作するかのベースラインを定義します。次に、機械学習（ML）を使用して、ベースラインをさらに改良します。MLの時間の経過とともに学習していくため、UEBAソリューションが正確なベースラインを作成するために収集、分析する必要のある通常行動のサンプルは減っていきます。

UEBAはベースライン行動モデルを作成した後、その同じ高度な分析と機械学習の機能を現在のユーザーとエンティティーの活動データに適用して、ベースラインから逸脱した不審な行動をリアルタイムで特定します。UEBAは、できるだけ多くの企業内ソース（多ければ多いほど良い）からのデータを分析することで、ユーザーとエンティティーの行動を評価します。これらのソースには、一般的に次のものが含まれます。

• ファイアウォール、ルーター、VPN、IAMソリューションなどのネットワーク機器とネットワーク・アクセス・ソリューション。
  

• アンチウイルス／アンチマルウェア・ソフトウェア、EDR、侵入検知防止システム（IDPS）、SIEMなどのセキュリティー・ツールとソリューション。
  

• Active Directoryなどのネットワーク環境、システム内で有効なユーザー・アカウントとコンピューター、許可されたユーザーの活動について重要な情報を格納する認証データベース。
  

• ゼロデイ攻撃、マルウェア、ボットネット、その他のセキュリティー・リスクなど、一般的なサイバー脅威や脆弱性についての情報を提供する脅威インテリジェンス・フィードおよびフレームワーク（MITRE ATT&CKなど）。
  

• 退職を申し出た従業員や不満を抱いている従業員など、脅威をもたらす可能性のあるユーザーについての情報が含まれる、エンタープライズ・リソース・プランニング（ERP）または人事（HR）システム

UEBAは学習した内容を使用して異常な行動を特定し、そのリスクに基づいてスコアを付けます。例えば、短い期間の間に何度か認証を試みて失敗した場合やシステムへ異常なアクセス・パターンがあった場合には、内部脅威を示す可能性があるため低スコアのアラートを発行します。同様に、ユーザーが複数のUSBドライブを接続して、通常と異なるパターンのダウンロードを行っている場合、データ窃盗を示す可能性があるため、高リスクのスコアを付けます。

このスコア算出の測定基準を使用すると、セキュリティー・チームは誤検知を回避して最も大きな脅威に優先順位を付けると同時に、低レベルのアラートを長期にわたって文書化し、監視することで、その組み合わせによって、動きは遅いものの、深刻な脅威を示す可能性があります。

UEBAは、企業が不審な行動を特定して情報漏えい対策（DLP）の取り組みを強化するのに役立ちます。UEBAは、これらの戦術的な用途以外にも、ユーザー・データとプライバシー保護に関する規制の順守を証明するなど、より戦略的な目的にも役立ちます。

戦術的なユースケース

悪意のあるインサイダー：社内ネットワークに正規のアクセス権、中には特権アクセス権を持ち、サイバー攻撃を企てようとする人々です。ログ・ファイルやイベント記録のようなデータだけでは、このような人々を常に見分けられるとは限りませんが、高度な分析によって特定できます。UEBAは、IPアドレスではなく特定ユーザーに関する洞察を提供するため、セキュリティー・ポリシーに違反しているユーザー個人を特定できます。

侵害されたインサイダー：攻撃者は、フィッシング詐欺やブルート・フォース・アタック、その他の手段を通して、許可されたユーザーやデバイスの資格情報を入手します。盗んだものとはいえ本物の資格情報を使用しているため、攻撃者は正規ユーザーのように見えるので、一般的なセキュリティー・ツールではこのような攻撃者を発見できない場合があります。これらの攻撃者が内部に侵入すると、横移動を行い、ネットワーク全体を移動して資格情報を手に入れ、特権レベルを引き上げてさらに機密性の高い資産に到達します。このような攻撃者が本物の資格情報を使用していたとしても、UEBAは彼らの異常な行動を特定できるため、攻撃の阻止に役立ちます。

侵害されたエンティティー：多くの組織、特に製造業者や病院では、IoTデバイスなどの接続デバイスを多数使用していますが、セキュリティー設定がほとんど、あるいはまったくされていない場合がよくあります。防御が不十分な場合、このようなエンティティーはハッカーにとって格好の標的となります。彼らはこのようなデバイスを乗っ取り、機密データのソースにアクセスしたり、オペレーションを中断させたり、分散型サービス拒否（DDoS）攻撃を仕掛けたりする可能性があります。UEBAは、このようなエンティティーが侵害されたことを示す動作の特定の役立つため、脅威が拡大する前に対処できます。

データ窃盗：内部脅威と悪意のあるアクターは、侵害されたサーバー、コンピューター、その他のデバイスから、個人データや知的財産、ビジネス戦略に関する文書を盗もうとすることがよくあります。UEBAは、通常と異なるダウンロードやデータ・アクセスのパターンをセキュリティー・チームに警告することで、チームがデータ侵害をリアルタイムに検知できるよう支援します。

戦略的なユースケース

ゼロトラスト・セキュリティーの実施：ゼロトラスト・セキュリティー・アプローチとは、ネットワークの外部にいるか、すでに内部にいるかに関係なく、すべてのユーザーやエンティティーを決して信用せず継続的に検証する取り組みです。具体的には、ゼロトラストは、アプリケーションやデータへのアクセス権を付与される前に、すべてのユーザーとエンティティーを認証、認可、検証し、その後セッションを通じてアクセスを維持または拡張するために継続的に再認証、再認可、再検証することを必要とします。

ゼロトラスト・アーキテクチャーを効果的にするには、ネットワーク上のすべてのユーザー、デバイス、資産、エンティティーを最大限に可視化する必要があります。UEBAは、セキュリティー・アナリストに、どのデバイスがネットワークに接続しようとしているか、どのユーザーが権限を逸脱しようとしているかなど、すべてのエンドユーザーとエンティティーの活動を詳細かつリアルタイムに可視化します。

GDPR順守：欧州連合の一般データ保護規則（GDPR）は、機密情報を保護するための厳格な要件を組織に課しています。GDPRの下では、企業は、どの個人データが、誰によって、どのように使用され、いつ削除されたかを追跡する必要があります。UEBAツールは、ユーザーの行動とユーザーがアクセスする機密データを監視することで、企業のGDRP順守を支援します。

UEBAまたはUEBAタイプの機能は、現在利用可能な多くのセキュリティー・ツールに搭載されています。UEBAは単体製品として使用可能ですが、総合的なサイバーセキュリティー・ツールボックス内の1つのツールとして見なされるべきです。特に、次のツールと組み合わせて、または組み込んで使用される場合が多くあります。

セキュリティー情報とイベント管理（SIEM）：SIEMシステムは、異種の内部セキュリティー・ツールからのセキュリティー・イベントのデータを1つのログに集約し、そのデータを分析して、異常な動作や潜在的な脅威を検知します。UEBAは、内部脅威の検知とユーザー行動分析の機能を通じて、SIEMのネットワークに対する可視性を拡張できます。現在、多くのSIEMソリューションにUEBAが含まれています。

エンドポイントの検知と対応（EDR）：EDRツールは、ノートPC、プリンター、IoTデバイスなどのシステム・エンドポイントを監視して、脅威を示す可能性のある異常な動作の兆候がないか確認します。脅威が検知されると、EDRは自動的にその脅威を封じ込めます。UEBAは、エンドポイント上のユーザー行動を監視することでEDRソリューションを補完し、多くの場合、EDRの一部として含まれています。例えば、不審なログインがあったとき、EDRは低レベルのアラートを発行する可能性があります。しかし、エンドポイントが機密情報へのアクセスに使用されていることをUEBAが検出した場合には、アラートのレベルを適切に引き上げて迅速に対処できます。

IDおよびアクセス管理（IAM）：IDおよびアクセス管理ツールは、適切なユーザーとデバイスが必要なときに、適切なアプリケーションとデータを使用できるようにします。IAMは予防的であり、認可されたアクセスを容易にすると同時に、不正アクセスの防止を図ります。UEBAは、資格情報の侵害や、許可されたユーザーによる権限の乱用の兆候を監視することで、新たな防御レベルを追加します。