UEBAとは？その仕組みとSIEMとの違い

ユーザーとエンティティの行動分析 (User and Entity Behavior Analytics/UEBA) は、ネットワーク上のトラフィックパターンから異常な行動を検出するサイバーセキュリティの強力なツールです。攻撃者の行動は、ネットワークに侵入した時点で様々に変化するため、その侵入を阻止するため、組織には悪意ある行動を迅速に検知する方法が必要です。攻撃者は、ファイルの窃盗、ストレージデバイスへのマルウェアの組み込み、データベースの照会、ユーザーデバイスの制御、あるいは単純にネットワークトラフィックを盗聴したりします。すべてのネットワーク活動を監視することは可能でも、誤検知を避けるためには、正当なユーザー活動と区別しなければなりません。UEBAは、正規のネットワークトラフィックやユーザーの行動を妨げることなく、異常なトラフィックパターンを検出し、管理者に警告を発することができます。以前はユーザー行動分析（User Behavior Analytics/UBA）と呼ばれていました。

コンピュータネットワークには、何千ものデバイスとユーザーが存在し、日々トラフィックを生成しています。そして、クラウド、在宅勤務、公共の場での接続など、攻撃者にとっては豊富なターゲット環境となっています。ユーザーやデバイスが生成するトラフィックは、異常の有無に関して監視されますが、ユーザーの行動パターンを監視するツールはほとんどありません。UEBAは、ベースラインのアクティビティ統計を使用し、現在のユーザーの行動と比較することで、セキュリティ担当者が異常を特定できるようにします。UEBAツールは、ネットワーク上を移動する数十億バイトのデータを、悪意のある数バイトのデータから区別することができます。

UEBAをセキュリティの強力なツールにしているのは、アナリティクスです。従来のサイバーセキュリティの防御では、ファイルにアクセスしたときや認証に失敗した場合に示される単純なトリガーが定義されていました。UEBAでは多くの場合、人工知能 (AI) や機械学習 (ML) のアルゴリズムを用いて、これらのアクションのいずれかが正当なユーザー認証なのか、それとも攻撃者のアクションなのかを判断します。

UEBAには、サイバーセキュリティにおいて、以下のようないくつかの機能があります。

• インサイダー脅威の検知： インサイダーの脅威は、一般的には従業員ですが、ネットワークにアクセスできるサードパーティベンダーが含まれることもあります。 インサイダーによるデータ漏えいには、悪意のあるものと、従業員が騙されて攻撃の被害に遭った場合などの意図しないものがあります。
• アカウント漏えいの検知： 従業員がフィッシングの被害に遭うと、攻撃者は盗んだ認証情報を使ってネットワークにアクセスし、保存されているデータを盗み出します。
• ブルートフォース攻撃（総当たり攻撃）の検知： クラウド上のパブリックな環境では、ユーザーアカウントへの攻撃が多発しています。ブルートフォース攻撃を阻止する手立てがなければ、攻撃が継続し続ける可能性があります。
• 侵害の検知： UEBAは、他のすべてのサイバーセキュリティシステムが攻撃者をブロックできない場合でも、境界内にいて、既にネットワーク上で活動している攻撃者を阻止します。

UEBAシステムがなければ、企業はデータ侵害を検知することができず、侵害を修復するための手段を講じることができません。攻撃者がネットワークにアクセスできる時間が長ければ長いほど、より多くのデータが流出してしまいます。攻撃者の特定には数ヶ月を要することもありますが、UEBAシステムは、攻撃者が重要なシステムにアクセスできる時間を削減します。

ネットワークが侵害された後、攻撃者は検知を避けてステルス行動をとることがよくあります。ほとんどのサイバーセキュリティシステムは、攻撃者がネットワークにアクセスするのを阻止しますが、侵害後に不審なトラフィックパターンを検出できるシステムはほとんどありません。UEBAのインテリジェンスは、環境内の標準的なベースラインに基づいて、奇妙なパターンを特定することに重点を置いています。

例えば、企業の知的財産を含む機密性の高いファイルがあるとします。弁護士やその他のエグゼクティブは、年にランダムに数回しか、このファイルにアクセスしません。一方、攻撃者がこのファイルにアクセスする方法はいくつかあります。まず、攻撃者が弁護士のユーザ名とパスワードを盗むフィッシング攻撃が考えられます。もう1つの方法は、ネットワーク上のマルウェアがファイルを盗み出し、攻撃者が管理するサーバに送信することです。また、内部の人間がファイルのコピーを取り、それを外部にメールで送信することも考えられます。

攻撃者が行う活動はすべてトラフィックを発生させます。例えば、ネットワーク上の攻撃者やマルウェアが知的財産をスキャンし、ファイルを見つけたとします。ファイルへのアクセスには認証や許可が必要になる場合があるため、ファイルのスキャンとアクセスは、ネットワーク上で認証を受けてファイルを開いたユーザーと比較して、通常とは異なるトラフィックを生成します。攻撃者はコピーを取ることになりますが、これは以前に正規のユーザーがアクセスしようとした場合と比べて異常な行動です。UEBAでは、このファイルに関する通常のトラフィックパターンのベースラインスナップショットを取り、それを現在のアクティビティと比較します。攻撃者は通常のファイルアクセスの動作を知らないため、どのような行動であっても通常のネットワーク活動とは異なりがちです。UEBAはその通常とは異なる活動を特定し、管理者に違反の可能性を警告します。

UEBAはインサイダー脅威に対しても有効です。インサイダー脅威は、一般的に見落とされがちな問題です。企業は、従業員は信頼できると考えていますが、悪意を持った不正な従業員は、外部からの攻撃者に比べてはるかに簡単に悪意ある活動を行うことが可能です。不正な従業員は、企業スパイの一員である場合もあれば、単に企業データに危害を加えることを目的としている場合もあります。場合によっては、内部脅威は悪意があるものではなく、ハッキングされた従業員アカウントやフィッシング詐欺に起因することもあります。また、インサイダー脅威による活動は、普段はあまりアクセスされないファイルにアクセスしようとしたり、動きのないファイルのコピーを作成したりするため、通常とは異なります。

多くの組織では、ネットワーク上の異常な活動を検知するためにセキュリティ情報イベント管理 (SIEM) ツールを使用しているため、UEBAは無駄なように思えます。しかし、UEBAツールはSIEMとは違う仕組みで動作するので、SIEMと連携して機能させることができます。SIEMはルールベースのシステムで、複数の異なるシステムからログファイルを取り込み、データを分析して、アナリストに情報を提供します。また、アナリストの意思決定に役立つアラートや助言を行います。

UEBAツールの仕組みはやや異なります。AI、アルゴリズム、リスクスコアリングを用いて、通常とは異なるユーザーの行動を検知し、トラフィックパターンが正当なユーザーのものか、攻撃者のものかを判断します。これらのツールは、ビッグデータと連携し、分析、レポート、アラートシステムに機械学習を取り込んで動作します。総合的に見て、侵害された後に最大限のセキュリティを確保するためには、UEBAを備えたSIEMを使用するのが最善と言えるでしょう。