本連載の第4~5回では、内部不正のリスクや可視化の重要性について紹介してきました。本稿では内部不正の行動を特定するために必要なUEBAとUBAについて解説したのち、UEBAを搭載した次世代SIEMの有用性、Exabeamの強みについてご紹介します。

UEBAは何の略か

UEBAはUser and Entity Behavior Analytics(ユーザとエンティティの行動分析)を縮めた頭字語で、ユーザの行動を分析し、高度な分析を適用して異常行動を検知するサイバーセキュリティツールの分野です。この頭字語を1語ずつ説明します。

User(ユーザ)
 UEBAテクノロジーは、ネットワーク、アプリケーション、およびそのほかのITシステムにおけるユーザの行動を理解し、セキュリティの問題を特定するために役立ちます。
Entity(エンティティ)
 JUEBAはユーザとエンティティに対して何をするのでしょうか。ユーザやエンティティが「通常」どのように行動するかを定義する行動の基準(ベースライン)を作成し、その基準から逸脱した異常を識別します。この判断がセキュリティ上で重要な役割を果たします。
Analytics(分析)
 JUEBAの分析は、AIと機械学習のアルゴリズムにもとづいています。機械学習モデルに大量のデータを取り込み、読み込むことで、数千のユーザ、エンティティ、ピアグループにわたって過去の行動を学習し、何が異常な行動を構成するかを理解します。

簡単なオリエンテーション:UEBA、および関連するセキュリティトレンド

UEBAとは何か

UEBAは、機械学習とディープラーニングを利用して社内ネットワーク上のユーザやそのほかのエンティティの通常の行動を学習し、異常行動を検知します。そして、その行動にセキュリティ上の影響があるかどうかを推定することができる、新しい分野のセキュリティソリューションです。

相互関連付けルールや既知の攻撃パターンにもとづく従来型のセキュリティツールと異なり、UEBAはノイズに紛れた新しいタイプの攻撃やインシデントを特定できます。これには、ゼロデイ攻撃や内部不正が含まれます。

UBAは何の略か

UEBAが何の略か説明したところで、今度はUBAを定義しましょう。UBAは、User Behavior Analytics(ユーザ行動分析)の略で、UEBAに似ていますが「E」がありません。

UBAとは何か

UBA(User Behavior Analytics)は、2014年にガートナー社が造語したUEBAカテゴリの旧称です。以前の定義では、UBAツールは個人ユーザやユーザのグループの行動のみに対して分析していました。

2015年に、ガートナー社は定義を改訂して「E」を追加し、カテゴリの名前をUEBA(User and Entity Behavior Analytics:ユーザとエンティティの行動分析)に変更しました。この広くなった定義では、UEBAツールはルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えています。

UEBAとUBAの違いとは?

UBAは個々のユーザの行動に注目しますが、UEBAは企業ネットワーク上で動作する新しいエンティティや多様なエンティティも分析できます。さらに、既存の内部不正に加え、外的脅威からも保護します。

UEBAとSIEMの違いとは?

SIEM(Security Information and Event Management)システムは、セキュリティオペレーションセンター(SOC)の重要なインフラです。SIEMは多くのエンタープライズシステムやそのほかのセキュリティツールと連動して、企業全体のセキュリティログとイベントをすべて収集します。また、これらのイベントを分析して、セキュリティチーム向けのアラートを生成します。

UEBAはSIEMと深く関連しています。それは、多くの機能が共通しているためです。どちらも企業ネットワークからイベントを収集し、分析してアラートを生成します。しかし、UEBAソリューションが分析面に注力するのに対して、SIEMシステムは非常に幅広いセキュリティデータの扱いに長け、セキュリティアナリスト向けにデータを整理します。これによりSOCでは、系統立てた処理が可能になります。

次世代SIEM(UEBA搭載)とは何か

2017年に、ガートナー社は、SIEMプラットフォームにいくつかの高度な機能を組み込むべきであると提案しました。そのひとつがUEBAです。具体的には、ガートナー社はSIEMプラットフォームにUEBAソリューションを組み込んでセットで提供するように、ベンダー各社に呼びかけました。ガートナー社が直接「次世代SIEM」について言及しているわけではありませんが、同社の文書には、次世代SIEMに搭載するべき機能の概要が記載されています。この呼びかけに従ったセキュリティプラットフォームのひとつがExabeamです。これは、UEBA機能とセキュリティ自動化機能が搭載された次世代SIEMです。

UEBAはインシデントレスポンスにどのように役立つか

UEBAは、現代のインシデントレスポンスにおける重要な要素です。過去には、セキュリティアナリストは大量のアラートを選別して「本物の」セキュリティインシデントを発見し、それからさらに追加のエビデンスを調べ、何が起こったかを明らかにしていました。

UEBAはこのプロセスの大部分を自動化します。具体的には、セキュリティ上で特に重要性のあるイベントを特定し、同じセキュリティインシデントの一部を構成している可能性がある関連イベントをまとめます。このように、UEBAは組織がより迅速に正確なインシデントレスポンスを実行できるように支援してくれるのはもちろん、セキュリティアナリストの貴重な時間も節約することができます。

5分で読めるUEBA入門

UEBAシステムのコンポーネント

分析モジュール
 解析したイベントデータを取り込んで分析し、異常を特定してセキュリティインシデントに優先順位を付けます。
中央ストレージ
 生データと分析結果を保存します。
自動応答
 UEBAソリューションをITシステムやセキュリティツールと統合し、セキュリティインシデントに対して自動応答を実行できます。これは、SOAR(Security Orchestration, Automation, and Response)という専用のソリューションで行うこともできます。

上位のUEBAユースケース

悪意のある内部関係者
 UEBAソリューションは、従来型のセキュリティツールでは無害にみえる行動であっても、悪意のある内部関係者を特定できます。これを行うために、各ユーザの通常の行動の基準を定義し、その行動が変化したときに検知できるようにしています。
侵害を受けた内部関係者
 UEBAソリューションは、特権アカウントをコントロールした攻撃者によってアカウント所有者が知らないうちに実行した有害な行動をすばやく検知できます。また、ラテラルムーブメントも検知できます。これは、攻撃者がITシステムにさらに深く侵入するために、別のシステムやユーザアカウントに乗り換える行為です。
インシデントの優先順位付け
 UEBAは、特に異常な、疑わしい、または危険性をはらむインシデントをインテリジェントに予測できます。相互関連付けルールや攻撃パターンのさらに先を行き、未知の有害なアクティビティを特定します。また、組織におけるアセットの重要性に関するコンテキストも追加できます。たとえば、きわめて重要なデータを保管しているシステムなら、通常行動からわずかにずれただけでも重要とみなします。
DLP(データ損失防止)
 多くの大企業が使用するDLPツールからUEBAによってアラートを取得し、優先順位を付けて統合することで、真に異常な行動を表しているアラートを把握することができます。これによりアラート疲れが軽減され、アナリストがすばやく真のデータ漏洩を特定できるようになります。
エンティティ分析(IoT)
 UIoTはセキュリティ上の大きな課題となっています。組織によっては数千台のIoTデバイスを現場に配置しているにもかかわらず、その動作に対する可視性は限定されています。また、セキュリティ機能も原始的です。UEBAは台数制限なく接続済みデバイスを追跡して行動基準を定義し、通常と異なるソースからの接続、通常と異なる時間の行動、通常は使用していないデバイス機能の使用など、異常行動や悪意のある行動を特定できます。

UEBAが組み込まれた次世代SIEMの例

UEBAテクノロジーが組み込まれた最新のSIEMソリューションの一例は、Exabeamのセキュリティマネジメントプラットフォームです。Exabeamには以下のUEBA機能があります。

・ルールやシグネチャに依存しないインシデント検知:
事前定義の相互関連付けルールや脅威パターンなしで異常行動やリスクのある行動を特定し、誤検知を抑えた意味のあるアラートを提供します。

・セキュリティインシデントタイムライン:
セッションをつなぎ合わせて、ひとつのセキュリティインシデントの完全なタイムラインを複数のユーザ、IPアドレス、ITシステムにまたがって作成します。

・ピアのグループ化:
組織内で同じロールを持つユーザなどの類似エンティティを動的にグループ化し、グループ全体の通常行動を分析することで、異常行動を検知します。

・ラテラルムーブメント:
システムに侵入した攻撃者はネットワーク内を移動し、さまざまなIPアドレスや認証情報を使ってますます多くのシステムへのアクセス権を獲得します。Exabeamは複数のソースからのデータを組み合わせ、ネットワーク内で攻撃者がたどった道筋を明らかにします。

デモ版のExabeamを用意しているので、ぜひUEBA、SIEM、SOARが統合されたプラットフォームをお試しください。

また、UEBAテクノロジーの詳細は、弊社の「Essential Guide to SIEM」(SIEM基本ガイド)のUEBAに関する章をご覧ください。

  • ORION CASSETTO Exabeam, Inc. ディレクター、プロダクトマーケティング

    ORION CASSETTO
    Exabeam, Inc. ディレクター、プロダクトマーケティング

セミナー紹介
マクニカネットワークスでは、次世代SIEMプラットフォーム「Exabeam」をご紹介するセミナーを開催しています。どうぞお気軽にご参加ください。
お問い合わせも随時受けつけています。下記のフォームから、気軽にお問い合わせください。

  • alt

[PR]提供:マクニカネットワークス