ユーザー/エンティティ行動分析 (UEBA) とは?

UEBA の中核は、ユーザー行動分析 (UBA) と エンティティ行動分析 (EBA) という 2 つの主要なコンポーネントで構成されています。

UBA は、組織でユーザーの行動を理解し、潜在的なセキュリティ リスクを把握して阻止するために役立ちます。これを実現するには、ユーザー アクティビティの全体でパターンを監視および分析して、一般的な行動のベースライン モデルを作成する必要があります。モデルは、この行動学習パターンに基づいて、特定のユーザーが特定のアクティビティを実行する確率を決定します。

EBA は UBA と同様に、組織においてネットワーク側で潜在的なサイバー攻撃を特定するのにも役立ちます。EBA では、サーバー、アプリケーション、データベース、モノのインターネット (IoT) といった人間以外のエンティティ間のアクティビティを監視および分析します。これは、不正なデータ アクセスや異常なデータ転送パターンなど、侵害を示す可能性のある疑わしい行動を特定するために役立ちます。

UBA と EBA は一体となって、地域、デバイス、環境、時間、頻度、ピアまたは組織全体での行動など、多種多様なアーティファクトを比較するソリューションになります。

UEBA では、組織のネットワーク全体におけるすべての接続されたデータ ソースから、ユーザーとエンティティのデータを収集します。ユーザー データにはサインイン アクティビティ、位置情報、データ アクセス パターンが含まれる場合があります。一方で、エンティティ データにはネットワーク デバイス、サーバー、エンドポイント、アプリケーション、その他の追加サービスからのログが含まれる場合があります。

UEBA では収集されたデータを分析し、それを使用して、すべてのユーザーとエンティティのベースラインまたは一般的な行動プロファイルを定義します。ベースラインは、受信データに基づき、時間をかけて継続的に学習および適応する動的な行動モデルを作成するために使用されます。

UEBA ではベースラインを一般的な行動のガイドとして使用し、ユーザーとエンティティのアクティビティをリアルタイムで監視し続け、組織で資産がセキュリティ侵害を受けたかどうかを判断できるようにします。システムでは、アラートがトリガーされる異常に大量なデータ転送の開始など、一般的なベースライン行動から逸脱した異常なアクティビティを検出します。異常それ自体は必ずしも悪意のある、または疑わしい行動を示すわけではありませんが、検出、調査、脅威の追求を改善するために使用できます。

ユーザーの行動、異常の種類、潜在的なリスク レベルに関する分析情報を含むアラートは、セキュリティ オペレーション センター (SOC) チームに送信されます。SOC チームは情報を受け取り、行動、コンテキスト、リスクの優先順位に基づいて、さらに調査を進める必要があるかどうか判断します。

UEBA を幅広い一連のサイバー攻撃ソリューションと合わせて使用すると、組織で統合されたセキュリティ プラットフォームが形成され、全体的により強固なセキュリティ態勢が実現されます。また、UEBA は監視のために管理された検出と応答 (MDR) ツールおよび Privileged Access Management (PAM) ソリューションと、アクションと応答のためにセキュリティ情報イベント管理 (SIEM) およびインシデント応答ツールと連携します。

脅威の追求ツールでは、脅威インテリジェンスを使用し、クエリによって疑わしい行動が発見されたかどうかを判断できるようにします。行動が疑わしい場合、異常はさらなる調査の潜在的な方法を示唆します。UEBA では、ユーザーとエンティティの両方におけるパターンを分析し、早期のサイバー攻撃、内部関係者によるサイバー攻撃、DDoS 攻撃、ブルート フォース攻撃など、きわめて広範なサイバー攻撃を先に検出してから、潜在的なインシデントまたは侵害にエスカレートすることができます。

UEBA モデルは、データ分析を用いて進化するユーザーとエンティティの行動パターンから継続的に学習する機械学習アルゴリズムによって、駆動されます。リアルタイムでのセキュリティ ニーズへの適応により、高度なサイバー攻撃を特徴とした変化するセキュリティ環境に直面しても、セキュリティ ソリューションの効果を維持できます。

セキュリティ アナリストは異常を使用して、侵害を確認し、その影響を評価して、SOC チームがケースをさらに調査するために使用できる、潜在的なセキュリティ インシデントに関するタイムリーで実用的な分析情報を提供できるようにします。これにより、さらに迅速かつ効率的なインシデント解決が実現され、組織全体に対するサイバー攻撃の全体的な影響が最小化されます。

ハイブリッドまたはリモート ワークの時代において、今日の組織は常に進化するサイバー攻撃に直面しています。このため、その対処法も進化する必要があります。新規および既存のサイバー攻撃をより効果的に検出するために、セキュリティ アナリストは異常を探します。1 つの異常は必ずしも悪意のある行動を示すわけではありませんが、キル チェーン全体における複数の異常の存在は、より大きなリスクを示している可能性があります。セキュリティ アナリストは、特定された異常な行動のアラートを追加すると、検出をさらに強化できます。UEBA を導入し、セキュリティのスコープを拡大して、従来のオフィス環境以外のデバイスを網羅すると、組織でログイン セキュリティ を先回りして改善し、サイバー攻撃を軽減して、全体的により回復性と安全性の高い環境を確保できます。

金融サービスや医療などの規制された業界では、データ保護およびプライバシー規制に、すべての企業が準拠しなければならない標準が付属しています。UEBA の継続的な監視およびレポート機能は、組織でこうした法規制遵守の要件を常時追跡するために役立ちます。

UEBA は組織に貴重な分析情報を提供しますが、独自の検討すべき一連の課題も抱えています。UEBA の実装時に対処すべき一般的な問題を、以下でいくつか紹介します。

• 誤検知と検知漏れ
  時折、UEBA システムで正常な行動を疑わしいものとして誤って分類し、誤検知が生じることがあります。UEBA では実際のセキュリティのサイバー攻撃を見逃すこともあり、これによって検知漏れが発生する可能性もあります。より正確にサイバー攻撃を検出するには、組織で注意してアラートを調べる必要があります。
  
  
• エンティティ間での一貫性のない名前付け
  リソース プロバイダーでは、ドメイン名コンテキストのないユーザー名など、エンティティの識別が不十分なアラートが作成されることがあります。こうした場合、そのユーザー エンティティは同じアカウントの他のインスタンスとマージすることができず、別個のエンティティとして識別されます。このリスクを最小限に抑えるには、標準化されたフォームを使用してエンティティを識別し、エンティティを ID プロバイダーと同期して単一のディレクトリを作成することが重要です。
  
  
• プライバシーに関する懸念
  セキュリティ オペレーションを強化する際に、個人のプライバシー権が損なわれてはいけません。ユーザーとエンティティの行動の継続的な監視には、倫理とプライバシーに関する疑問が伴います。これが、責任を持ってセキュリティ ツール (特に、AI で強化されたセキュリティ ツール) を使用することが不可欠である理由です。
  
  
• 急速に進化するサイバー攻撃 
  UEBA システムは変化するサイバー攻撃の状況に適応するように設計されていますが、すばやく進化するサイバー攻撃に対応する際に、引き続き課題に直面する可能性があります。サイバー攻撃の手法とパターンが変化するにつれて、組織のニーズに対応するために UEBA テクノロジを調整し続けることが重要です。

機械学習、AI 統合、データ分析の進歩による機能強化が予定されているため、UEBA の未来は明るく見えます。UEBA の進化を実現する可能性が高い特に魅力的なトレンドと進展の一部を、以下で紹介します。

• サイバーセキュリティのための AI における進歩
  AI と機械学習が成長を続けてより強力かつ高度になる中で、UEBA の予測機能はさらに発展することが期待されています。受信データに基づいて継続的に学習する機械学習アルゴリズムは、複雑なパターンと異常をより適切に識別し、サイバー攻撃の検出の正確性を高めて、誤検知を減らすことが期待されています。
  
  
• 拡張検出と応答 (XDR) およびエンドポイントでの検出と対応 (EDR) との統合 
  UEBA は、EDR および XDR ソリューションとさらに緊密に統合されることが期待されています。EDR ソリューションは、セキュリティのスコープを拡大して、エンドポイント間でクロスプラットフォームの可視性を実現します。XDR ソリューションは、ネットワーク、サーバー、クラウドベースのアプリケーション、エンドポイントなどの幅広い製品をまたいでセキュリティを提供し、このスコープをさらに広げます。UEBA を XDR と EDR に組み込むと、これらのソリューションによって提供される脅威インテリジェンスが強化され、組織でマルチクラウド、マルチプラットフォームの環境全体でサイバー攻撃をより効果的に検出し、応答することが可能になります。
  
  
• インシデント応答のオートメーション 
  UEBA の分析情報と組み合わせると、自動インシデント応答が高速化、高度化、効率化され、セキュリティ インシデント全体の影響が軽減されます。
  
  
• よりプロアクティブなセキュリティ機能 
  UEBA はさらに、ID とエンドポイントの検出に加えて、保護ソリューションにも埋め込まれる予定です。ますます巧妙になるサイバー攻撃に直面する中で、UEBA は補完的なセキュリティ ソリューションと合わせて進化し、より高度な脅威検出と迅速なインシデント応答を実現します。たとえば、管理された拡張検出と応答 (MXDR) では、管理された検出と応答 (MDR) の管理された監視、追求、修復サービスと XDR の拡張セキュリティ保護を組み合わせて、エンドポイントを越える高速かつ効果的でプロアクティブなサイバー攻撃カバレッジを実現します。こうした新しい UEBA 機能によって、SOC チームは多種多様な IT 環境の全体でサイバー攻撃を先回りして検索できるようになり、組織で新たなサイバー攻撃を先取りすることが可能になります。

ネットワーク トラフィック分析 (NTA) は、実際には UEBA と多くの類似点を共有しているものの、フォーカス、アプリケーション、スケールの点で異なるサイバーセキュリティ アプローチです。包括的なサイバーセキュリティ ソリューションを作成する場合、次の 2 つのアプローチがうまく連携します。

• 機械学習と AI を通じて、ネットワーク内のユーザーとエンティティの行動を把握し、監視することにフォーカスしています。
• ユーザーとエンティティのソースからデータを収集します。これには、サインイン アクティビティ、アクセス ログ、イベント データに加えて、エンティティ間のインタラクションが含まれる場合があります。
• モデルまたはベースラインを使用して、内部関係者による脅威、セキュリティ侵害を受けたアカウント、潜在的なインシデントにつながる可能性のある異常な行動を特定します。

• データ パケットを調べ、潜在的な脅威を示す可能性のあるパターンを特定して、ネットワーク内のデータのフローを把握および監視することにフォーカスしています。
• ネットワーク トラフィックからデータを収集します。これには、ネットワーク ログ、プロトコル、IP アドレス、トラフィック パターンが含まれる場合があります。
• トラフィック パターンを使用して、DDoS 攻撃、マルウェア、データ窃盗および流出などのネットワーク ベースの脅威を特定します。
• UEBA や他のネットワーク セキュリティ ツールおよびテクノロジとうまく連携します。

サイバーセキュリティの脅威が急速なペースで進化し続ける中、UEBA ソリューションは組織の防御戦略にとってかつてないほど重要になっています。将来のサイバー攻撃からエンタープライズをより適切に保護するための鍵は、常に情報を収集し、先回りして、認識することです。

次世代 UEBA 機能で組織のサイバーセキュリティ態勢を強化することに関心がある場合は、最新のオプションをご確認ください。統合セキュリティ オペレーション ソリューションは、SIEM と UEBA の機能が組み合わされており、組織で 1 つのプラットフォームからリアルタイムで高度なサイバー攻撃を把握して阻止するのに役立ちます。クラウド、プラットフォーム、エンドポイント サービスの全体で統合されたセキュリティと可視性によって、より迅速に移行できます。また、技術スタックの全体からセキュリティ データを集計してセキュリティ態勢の全般的な概要を把握し、AI を使用して潜在的なサイバー攻撃を発見できます。