ホーム

Topics

ユーザー振る舞い分析

 ユーザー行動分析(UBA)とは
IBMのUBAソリューションの詳細はこちら 登録してセキュリティー関連の最新情報を受け取る
指紋スキャンとクラウド・セキュリティーを備えたスマートフォンのイラスト

公開日:2024年6月19日

投稿者:Matthew Kosinski
ユーザー行動分析(UBA)とは

サイバーセキュリティーにおけるユーザー行動分析(UBA)は、データ分析、人工知能機械学習を使用して、ネットワーク内のユーザーの行動を追跡し、通常の行動パターンをモデル化し、セキュリティー上の脅威を示す可能性のある逸脱を検知することです。

UBAツールは、新しいIPアドレスからのログインや、通常は扱わない機密データの閲覧など、個々のユーザーが普段行わないことをしたことを検知できます。

このような軽微な異常の場合、他のネットワーク監視ツールは起動しない可能性があります。しかし、UBAは、このアクティビティーがこの特定のユーザーにとって異常であると判断し、セキュリティー・チームにアラートを発することができます。

UBAツールは、微妙に疑わしい行動を検知できるため、セキュリティー・オペレーション・センター(SOC)が 内部脅威高度で持続的な脅威 、盗まれた認証情報を使用する ハッカーなどの回避型攻撃を特定するのに役立ちます。

この能力は、今日のSOCにとって重要です。IBM X-Force Threat Intelligence Indexによると、有効なアカウントの不正使用は、サイバー犯罪者がネットワークに侵入する方法として最も一般的です。

UBAツールや技法はさまざまな分野で使用されています。例えば、マーケティング担当者や製品デザイナーは、人々がアプリやWebサイトとどのようにやり取りしているかを理解するために、ユーザーの行動データを追跡することがよくあります。しかし、サイバーセキュリティーでは、UBAは主に脅威の検知に使用されます。

 UBAとUEBAの比較

アナリスト企業、Gartnerによって2015年に初めて定義されたユーザーおよびエンティティーの行動分析(UEBA)は、UBAから進化したセキュリティー・ツールの一種です。

UBAと同様に、UEBAツールもネットワーク・アクティビティーを監視し、通常の行動のベースラインを確立し、その基準からの逸脱を検知します。主な違いは、UBAが人間のユーザーのみを追跡するのに対し、UEBAシステムはアプリやデバイスといった人間以外のエンティティーのアクティビティーやメトリクスも追跡する点です。

この2つの用語に互換性があるかどうかについては議論があります。IDCのような一部の企業は、これらはテクノロジーの別個のクラスであると主張しています。1一方、Gartnerの元アナリスト、Anton Chuvakin氏は、UBAとUEBAはほぼ同義語と考えていると述べています。

いずれにせよ、ユーザーに焦点を当てるということが、UBAとUEBAをセキュリティー情報およびイベント管理(SIEM)やエンドポイントの検知と対応(EDR)のような同様のセキュリティー・ツールと区別する点です。これらのツールを使用することで、セキュリティー・チームは、システム・アクティビティーを個々のユーザー・レベルで理解し、分析できます。人間以外のエンティティーを追跡することで、コンテキストを追加することはできますが、それは必ずしもこれらのツールの中核となる目的ではありません。

あるいは、Chuvakin氏の言葉を引用すると、「『U』は必須ですが、『U』を超えて他の『E』まで含めることは必須ではありません」。
データ侵害のコストに関する調査

データ侵害の原因とコストに影響を与える要因を理解することで、脅威に備えます。
UBAの仕組み

ユーザー行動分析ツールは、ネットワーク全体のソースからユーザー・データを継続的に収集し、それを使用してユーザー行動のベースライン・モデルを作成し、改良します。このツールは、ユーザー・アクティビティーをこれらのベースラインとリアルタイムで比較します。重大なリスクをもたらす異常な行動を検知すると、適切な利害関係者にアラートを発します。

 ユーザー・データの収集

UBAツールは、ユーザー属性(ロール、権限、場所など)とユーザー・アクティビティー(例えば、ユーザーがファイルに加えた変更、訪問したサイト、移動したデータ)に関するデータを収集します。UBAは、この情報を次のようなさまざまなデータ・ソースから収集できます。

  • Microsoft Active Directoryなどのユーザー・ディレクトリー

  • 侵入検知および防止システム(IDPS)、ルーター、VPN、その他のインフラストラクチャーからのネットワーク・トラフィック・ログ

  • アプリ、ファイル、エンドポイント、データベースからのユーザー・アクティビティー・データ

  • IDおよびアクセス管理システムからのログインおよび認証データ

  • SIEM、EDR、その他のセキュリティー・ツールからのイベント・データ

 行動ベースラインの作成

UBAツールは、データ分析を使用して、ユーザー・データを通常のアクティビティーのベースライン・モデルに変換します。

UBAツールは、統計的モデリングやパターン・マッチングなどの基本的な分析手法を使用できます。また、人工知能(AI)や機械学習(ML)といった高度な分析も多く使用されています。

AIとMLを使用することで、UBAツールは膨大なデータ・セットを分析し、より正確な行動モデルを作成できます。また、機械学習アルゴリズムは、時間の経過とともにこれらのモデルを改良することもできるため、業務やユーザーの役割の変化に合わせて進化させることができます。

UBAツールは、個人ユーザーとユーザー・グループの両方の行動モデルを作成できます。

個々のユーザーの場合、モデルは、ユーザーがログインした場所や、さまざまなアプリに費やした平均時間などを記録する場合があります。

部門内のすべてのユーザーなどのユーザーのグループの場合、これらのユーザーがアクセスするデータベースや、やり取りする他のユーザーなどをモデルで説明できます。

個々のユーザーは、通常の勤務中に使用するさまざまなアプリやサービスのために、複数のユーザー・アカウントを持っている可能性があります。多くのUBAツールは、これらのアカウントからのアクティビティーを単一の統一されたユーザーIDの下に統合することを学習できます。

アカウント・アクティビティーの統合は、ユーザー・アクティビティーがネットワーク内の異なる場所に分散している場合でも、セキュリティー・チームが行動パターンを検知するのに役立ちます。

 例外検知

ベースライン・モデルを作成した後、UBAツールはユーザーを監視し、その行動をこれらのモデルと比較します。潜在的な脅威を示すような逸脱を検知すると、セキュリティー・チームにアラートを発します。

UBAは、いくつかの異なる方法で異常を検知でき、多くのUBAツールは検出方法を組み合わせて使用します。

一部のUBAツールはルールベースのシステムを使用しており、セキュリティー・チームは、ユーザーが権限レベル外の資産にアクセスしようとした場合など、アラートをトリガーする状況を手動で定義します。

多くのUBAツールは、AIやMLアルゴリズムを利用してユーザー行動を分析し、異常を検知します。AIとMLを活用することで、UBAはユーザーの過去の行動からの逸脱を検知できます。

例えば、これまで勤務時間中だけアプリにログインしていたユーザーが、夜間や週末にもログインするようになった場合、侵害されたアカウントである可能性があります。

また、UBAツールはAIやMLを使用してユーザーを同僚と比較して、異常を検知することもできます。

例えば、マーケティング部門では、顧客のクレジット・カード記録を引き出す必要があるユーザーはいないことが十分に考えられます。マーケティング担当のユーザーがこれらのレコードにアクセスしようとした場合、それはデータ窃盗の試みの兆候である可能性があります。

ユーザー行動に関するAIやMLアルゴリズムのトレーニングに加えて、組織は脅威インテリジェンス・フィードを使用して、悪意のあるアクティビティーの既知の兆候を検出するよう、UBAツールに学習させることができます。

リスク・スコア

UBAツールは、ユーザーが通常と違うことをするたびにアラートを発するわけではありません。結局のところ、人々は多くの場合、正当な理由で「異常」な行動をしています。例えば、あるユーザーは新しいベンダーと初めて仕事をするため、それまで知らなかった相手とデータを共有することがあります。

多くのUBAツールは、個々のイベントにフラグを立てる代わりに、各ユーザーにリスク・スコアを割り当てます。ユーザーが何か異常なことをするたびに、そのリスク・スコアは上昇します。異常のリスクが高いほど、上昇率は高くなります。ユーザーのリスク・スコアが特定のしきい値を超えると、UBAツールがセキュリティー・チームにアラートを発します。

こうすることで、UBAツールはセキュリティー・チームに軽微な異常についてはアラートを出さないようにします。それでも、サイバー脅威を示す可能性が高い、ユーザーのアクティビティーの定期的な異常のパターンを捉えることはできます。1つの重大な異常が十分に高いリスクをもたらす場合には、アラートをトリガーすることもあります。

 アラートの発信

ユーザーのリスク・スコアが十分に高い場合、UBAツールは、SOC、インシデント対応チーム、またはその他の利害関係者にアラートを発します。

一部のUBAツールには専用のダッシュボードがあり、そこでセキュリティー・チームがユーザー・アクティビティーを監視し、リスク・スコアを追跡し、アラートを受信できます。また、多くのUBAツールは、SIEMやその他のセキュリティー・ツールにアラートをプッシュできます。

UBAツールは通常、脅威に直接対応する機能を備えていませんが、その機能を持つ他のツールと統合できます。

例えば、一部のIDおよびアクセス管理(IAM)プラットフォームでは、適応型認証にUBAデータを使用します。ユーザーのリスク・スコアが特定のしきい値を超えた場合(おそらく、新しいデバイスからサインインしているなど)、IAMシステムは追加の認証要素を要求することがあります。
UBAのユースケース

UBAツールは、ネットワーク内部のユーザーのアクティビティーに焦点を当てているため、セキュリティー・チームが境界防御を突破した悪意のある攻撃者を捕捉するのに役立ちます。

さらに、ユーザー行動の長期的なパターンを追跡することで、UBAは、最も巧妙なサイバー攻撃が残す、ほとんど感知できない痕跡を検知できます。
内部脅威の検知

内部脅威とは、故意であれ過失であれ、正当な権限を乱用または悪用して会社に損害を与えるユーザーのことです。これらのユーザーは、被害を与えているシステムに入る権限を持っていることが多いため、多くのセキュリティー・ツールはこのようなユーザーを見逃してしまう可能性があります。

一方、UBAはユーザーが異常な行動をとったときに、それを確認できます。ユーザは機密データを扱う権利を持っているかもしれませんが、そのデータを見知らぬデバイスに大量に転送した場合、UBAはこれを盗難の可能性があるとしてフラグを立てることができます。
ハイジャックされたアカウントの検知

ハッカーは、フィッシングマルウェアを使用して認証情報を盗み、正当なユーザーになりすまします。内部脅威と同様に、セキュリティー・ツールは、これらの攻撃者を許可されたユーザーのように見せかけるため、見逃してしまう可能性があります。

しかし、ハッカーは脆弱性を悪用したり、横移動をしたりするなど、実際のユーザーが行わないような悪意のある行為を必然的に行います。UBAツールは、これらの異常を検出できます。
高度で継続的な脅威(APT)のハンティング

APTは数カ月または数年にわたってネットワークに潜伏し、密かにデータを盗んだり、マルウェアを拡散したりする可能性があります。多くの場合、正当なユーザーになりすまし、リスクの高い大きな動きをするのではなく、時間をかけて小さな手順を何度も踏むことで、検知を回避します。UBAは、このような長期的な不審な行動パターンを検知することを得意としています。
UBAの課題

UBAツールは、状況によっては誤検知や偽陰性を生成することがあります。組織は、リスクスコアを使用したり、AIやMLのアルゴリズムをユーザー独自のパターンに基づいて訓練することで、そのような可能性を軽減することはできますが、リスクを完全に排除することはできないかもしれません。

あるユーザーが、計画的なマイグレーションの一環として、あるクラウドから別のクラウドへ大量の機密データを転送し始めたとします。UBAのベースライン・モデルは、このような承認されてはいるが、稀なアクティビティーを考慮に入れていない可能性があるため、アラートを発します。

UBAツールが潜在的な脅威を許容可能な行動として扱うことを学習したときに、偽陰性が発生します。これは、異常が修正されることなく繰り返し発生する場合に生じる可能性があります。

IDCは、あるベンダーが顧客のためにデータ侵害をシミュレートすることで、UBAの脅威検知スキルを発揮したという事例を紹介しています。最終的に、UBAツールは同じデータ侵害が何度も発生するのを見て、これはアラートを必要としない通常の行動であると判断しました。1
UBAとその他のセキュリティー・ツール

スタンドアロン型のUBAソリューションを提供するベンダーもありますが、市場は他のセキュリティー・ツールとの統合やアドオンとしてUBA機能を提供する方向にますますシフトしています。具体的には、UBA機能は多くの場合、SIEM、EDR、IAMプラットフォームに組み込まれています。
セキュリティー情報およびイベント管理(SIEM)

SIEMは、内部のさまざまなセキュリティー・ツールからのセキュリティー・イベント・データを単一のログに集約して、そのデータを分析して異常なアクティビティーを検知します。現在、多くのSIEMがUBA機能を備えているか、またはUBAツールと容易に統合できるようになっており、組織がSIEMデータを最適化するのに役立っています。

ユーザー行動データとセキュリティー・イベント・データを組み合わせることで、組織は脅威をより早く発見し、最もリスクの高い異常を優先的に調査できます。
Endpoint detection and response(EDR)

UBAは、エンドポイント・アクティビティー・データにユーザー行動データを追加することで、EDRツールを補完します。これにより、セキュリティー・チームは、ユーザーがエンドポイントで行っている事柄についてより多くの洞察を得ることができ、デバイス全体の不審な行動のパターンを特定しやすくなります。
ID管理とアクセス管理(IAM)

組織はIAM ツールを使用して、どのユーザーがどのリソースにアクセスできるかを制御します。前述したように、UBAツールをIAMシステムと統合することで、組織は、ユーザーのリスク・スコアが上昇するにつれて認証要件を強化する、インテリジェントな適応型認証プロセスを設計できます。
関連ソリューション
脅威の検知と対応ソリューション

IBMの脅威検知および対応ソリューションを使用して、セキュリティーを強化し、脅威の検知を迅速化します。

 脅威の検知と対応ソリューションの詳細はこちら
IBMのサイバー脅威管理サービス

最新の脅威に対して予測、防御、対応を行うことで、ビジネス・レジリエンスを高めます。

 脅威管理サービスはこちら
IBM AIサイバーセキュリティー・ソリューション

AIを活用したソリューションで、セキュリティー・チームの俊敏性、精度、生産性を向上させます。

 AIサイバーセキュリティー・ソリューションの詳細はこちら
参考情報 X-Force Threat Intelligence Index

攻撃者の戦術を理解することは、従業員やデータ、インフラストラクチャーを保護するために重要です。世界中のセキュリティー・チームの課題と成功から学びましょう。

KuppingerCole Leadership Compass:Managed Detection and Response(MDR)

管理された検知と対応サービスの市場をを概観し、IBMが総合リーダーに選ばれた理由をご覧ください。

UEBAとは何か

ユーザーとエンティティーの行動分析(UEBA)は、行動分析と自動化を使用して、ユーザーやデバイスの潜在的に危険な行動を特定するセキュリティー・ソフトウェアの一種です。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。 弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

 サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読
脚注

1 A CISO's Guide to Artificial Intelligence(ibm.com外部へのリンク)。IDC Research.