UEBAとは？ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第19回目となる今回は、「UEBAとは？ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド」と題して、UEBAの使用方法と、UEBAがサイバーセキュリティをどのように改善できるかを説明する、Michael Buckbee氏のブログ記事を紹介します。UEBAは、ユーザー振る舞い分析 (UBA) をエンティティーにまで拡張したものです。このガイドでは、UEBAの使用方法と、UEBAがサイバーセキュリティをどのように改善できるかを紹介します。

UEBAは、「ユーザーとイベントの振る舞い分析 (User and Event Behavior Analytics) 」または「ユーザーとエンティティーの振る舞い分析 (User and Entity Behavior Analytics) 」の略です。これは、機械学習と深層学習を使用して企業ネットワーク上のユーザーの振る舞いをモデル化し、サイバー攻撃の兆候である匿名の振る舞いを浮き彫りにする、初期のサイバーセキュリティプラクティスのユーザー振る舞い分析 (UBA) を拡張したものです。

UEBAでは、分析対象を、ルーター、サーバー、エンドポイントなど、ユーザー以外の「エンティティー」や「イベント」に拡張します。UEBAソリューションは、複数のユーザー、ITデバイスやIPアドレスを跨いだ複雑な攻撃を検出できるため、従来のUBAのアプローチよりも強力です。

UEBAは、ITセキュリティの非常に重要な要素であり、Varonisの脅威検出ソリューションの重要な部分を形成しています。Varonisのソリューションは、サイバー攻撃を検出して対応するまでの時間を大幅に短縮します—クラウドとオンプレミスの両方のインフラストラクチャーの可視性と文脈を組み合わせることにより、従来型の製品が見逃していた脅威を見つけます。

UEBAのしくみ

UEBAソリューションの背後にある基本原則は、UBAアプローチでお馴染みのものです。ユーザーとエンティティーの振る舞い分析では、まず、システムログからユーザーとエンティティーの通常の振る舞いに関する情報を収集します。次に、これらのシステムは、高度な分析手法を適用してデータを分析し、ユーザーの振る舞いのベースラインを設定します。その後、UEBAはエンティティーの振る舞いを継続的に監視し、同じエンティティーや類似したエンティティーのベースラインの振る舞いと比較します。

この分析の目的は、異常な振る舞いや「通常」のパターンからの逸脱を検出することにあります。例えば、毎日10MBのファイルを定期的にダウンロードしていたある特定のユーザーが、突然ギガバイト単位のファイルをダウンロードした場合、UEBAシステムはこの異常を検出し、潜在的なセキュリティ脅威を警告することができます。

UEBAは、この構造をUBAと共有しますが、エンティティーにも注目します。鍵となる考え方は、UEBAが分析の範囲を、人間以外のプロセスや機器のエンティティーにまで拡大することです。ガートナーのアナリストであるAnton Chuvakin氏が、UEBAをわかりやすく説明しています：要するに、これは依然としてUBAであるものの、エンティティーからの追加の文脈によって強化され、分析が改善されたものです。

なぜユーザーだけでは足りないのでしょうか？

多くの場合、異常な振る舞いを見つけるため際には個々のユーザーアカウントを調べない方が合理的です。例えば、被害者のコンピューターに侵入したハッカーは、複数のユーザーを利用してエクスプロイト後の攻撃—例えば他の機器への横展開—を開始する可能性があります。

注目すべきより大きなエンティティーは、アカウントではなく、IPアドレスによって識別できるコンピューターです。言い換えれば、ワークステーションのIPアドレスを共通要素とする異常なアクティビティを探します。

あるいは、既存のWindowsシステムソフトウェア—regsvr32やrundll32—の場合、ハッカーが通常の使用方法とは異なる文脈で使用するため、注目すべきより論理的なエンティティーはソフトウェアそのものです。

ユーザーとエンティティーの振る舞い分析 (UEBA) の構成要素

UEBAソリューションには3つの主要な構成要素があり、そのどれもが機能に不可欠なものです：

1.    データ分析では、ユーザーやエンティティーの「通常」の振る舞いに関するデータを使用して、それらの通常の振る舞いのプロファイルを作成します。その後、統計モデルを適用して、システム管理者に警告する異常な振る舞いを検出します。

2.    データ統合とは、UEBAシステムがさまざまな情報源—ログ、パケットキャプチャーデータ、その他のデータセットなど—からのデータを既存のセキュリティシステム上で比較できることを意味します。

3.    データプレゼンテーションは、UEBAシステムがその検出結果を伝えるプロセスです。これは通常、セキュリティアナリストに異常な振る舞いを調査するよう依頼することで行われます。

UBAとUEBAの違い

2017年10月に、ガートナーはUEBAに関する新しいマーケットガイドを発表しました。UBAに「E」が登場したのはこれが初めてでした。

この追加された文字を理解するためには、UBAのマーケットの定義から見直すのがよいでしょう。UBAの主要なマーケットは、セキュリティ（データの盗難）と詐欺（盗難された情報の使用）の技術に焦点を当てていました。しかし、データの盗難が増加するにつれて、セキュリティ技術のマーケットも拡大しました。その結果、ガートナーは、そのマーケットの成長と成熟には、不正検知技術とは一線を画すものが必要だと結論づけました。

この変化は、企業のサイバーセキュリティに関する考え方において、多くの変化が並行してもたされたことも背景にあります。DevSecOpsの進化とカオスエンジニアリングの台頭により、システムに接続されたすべてのデバイスを追跡して監視し、それらのアクセス制御を監視することの重要性が浮き彫りになりました。前述の通り、今日では、アクセス制御リスト (ACL) 上のすべてのエンティティーが何を表しているのか、Windows環境に組み込まれている暗黙のID、特に「Everyone」グループと「Authenticated users」の違いは何か、を理解することが重要です。

これらを考慮した結果、UBAがUEBAに改名され、「E」の文字の意味は、ガートナーによれば：

‥‥脅威をより正確に特定するため、部分的には他のエンティティーの振る舞いをユーザーの振る舞いと関連付けることによって、ユーザー以外の他のエンティティーが、しばしばプロファイル化されるという事実を認識しています。

言い換えれば、UEBAソフトウェアは、ユーザーのアクティビティと、例えば管理対象および管理対象外のエンドポイント、アプリケーション（クラウド、モバイル、その他のオンプレミス環境のアプリケーションを含む）、ネットワーク、および外部の脅威のようなその他のエンティティを関連付けます。

UEBAを使用することにより、境界内に侵入する外部の脅威だけでなく、既に存在する内部者の脅威からも保護することができます—データを完全に保護することができます。

最後に、VaronisはガートナーのMarket Guide for User and Entity Behavior Analytics（ユーザーとエンティティーの振る舞い分析のマーケットガイド）においてRepresentative Vendor（代表的ベンダー）に名を連ねていることを謙虚に触れておきます。

UEBAソリューションは必要ですか？

UEBAの台頭の背景には単純な気づきがあります：企業システムの安全確保は予防策だけではもはや不十分なのです。Webゲートウェイ、ファイアウォール、侵入防止ツール、VPNのような暗号化接続システムでは、もはや侵入から保護することができなくなっています。ハッカーはいつかはシステムに侵入してくるため、侵入されたらすぐに検出することが大切です。

UEBAの価値は、したがって、ハッカーや内部者が重要なシステムにアクセスすることを防ぐことではありません。その代わりに、UEBAシステムは、このような事態を迅速に特定し、リスクを警告することができます。

UEBAシステムが適切かどうかは、次のような原則と、その他のいくつかの要素を考慮する必要があります。お待たせしました！：

•    まず、UEBAが最も一般的なサイバー攻撃に対する脆弱性を軽減できることは事実です。サイバーセキュリティ統計に関するVaronisの調査でも指摘していますが、これらの最も一般的な攻撃には、フィッシング、ホエーリング、ソーシャルエンジニアリング、分散サービス拒否 (DDoS) 攻撃、マルウェア、ランサムウェアなどがあります。これらのいずれかの攻撃が成功した場合、UEBAは迅速に警告を発します。

•    一方で、UEBAツールやプロセスは、従来の監視システムに取って代わるものではなく、それらを補完し、企業全体のセキュリティ態勢を強化するために使用するべきものであることに留意してください。

•    このため、UEBAは常にVaronis for Edgeのような境界監視ソリューションと組み合わせて使用する必要があります。Varonis for EdgeはDNS、VPNやWebプロキシーなどの境界テクノロジーからのメタデータを分析し、境界での攻撃の兆候を見つけます。Varonisは、境界アクティビティを、ユーザーのコアデータアクセスアクティビティ、地理位置情報、セキュリティグループメンバーシップ等の文脈と並べて―SOC分析担当者にきれいで有意なアラートを提供します。

•    同様に、組織がクラウドに保存されたデータを管理および保護するためのセキュリティアプリケーションであるUEBAはクラウドアクセスセキュリティブローカー (CASB) の代替にはなりません。ガートナーは、組織に対して、「最適な」CASBソリューションを見つけることを推奨しています—SaaSアプリケーションとクラウドインフラストラクチャーに最適な機能を提供するものを見つけ、これをUEBAと組み合わせて使用します。

要するに、UEBAソフトウェアは、環境内のベースラインアクティビティに潜在的な攻撃の兆候を示す異常が見られた場合に、セキュリティ担当者に効果的に警告を発することができるということです。これは非常に便利なのですが、包括的な脅威検知ソリューションの代わりにはなりません。

さらに、UEBAには、ビジネスに適しているかどうかに影響を与える、さまざまな長所と短所があります。それらを見ていきましょう。

UEBAの長所

•    UEBAの最大の長所は、さまざまなサイバー攻撃を自動的に検出できることです。内部者脅威、アカウントの侵害、ブルートフォース攻撃、新しいユーザーの作成、データ侵害などが含まれます。

•    自動化されたシステムは、雇わなければならないセキュリティ分析担当者の数を劇的に減らすことができるため、有用です。現時点では、サイバーセキュリティ業界は依然として堅調ですが、サイバーセキュリティのスキル格差は大きいため、この点は多くの企業にとって大きな魅力となります。ESG/ISSAの調査報告書によると、回答者の74%が、自社は人材不足の影響を受けていると回答しています。ちなみに、この数字は、昨年の70%から徐々に上昇しています。

•    UEBAは、セキュリティ分析担当者が少なくても多くの作業を実行できるようになるため、サイバーセキュリティ予算も大幅に削減することもできます。これもまた、UEBAを利用する企業が増えている大きな理由です。サイバーセキュリティ予算への投資は、2010年から2018年の間に141％増加し、その大部分はUEBAのような新しいアプローチに牽引されました。

UEBAの短所

一方、他のサイバーセキュリティツールと併用する場合でも、UEBAにはいくつかの欠点があります。

•    UEBAの主な欠点は初期費用です。大企業であれば、UEBAへの投資はすぐに回収できるでしょうが、中小企業ではそこまで複雑な監視ソリューションは必要ないかも知れません。ほとんどの専用ホスティングソリューションでは、既にWebサイトやWebポータルに対応する高度なユーザーアクセス制御を提供しているため、中小企業でUEBAを導入することは時間と費用の二重投資と考えるかも知れません。

•    第二に、UEBAが生成するデータは、それよりも基本的なUBAが生成するデータよりも複雑です。このため、必要なトレーニングを受けていない分析担当者には理解が難しくなる可能性があります。そこで、Varonisのセキュリティトレーニングでは、UEBAのような高度な技術について要員を迅速かつ効率的にトレーニングする方法を提供し、この欠点を解消しています。

•    最後に、前述のポイントのいくつかを繰り返すことになりますが、UEBAは非常に具体的な方法で支援するもので、他のサイバーセキュリティシステムの代わるものではないことを認識することが重要です。異常な振る舞いを見つけることはできますが、親友者を阻止することはできません。

機械学習 (ML) とユーザーとエンティティーの振る舞い分析 (UEBA)

UEBAの有効性は機械学習 (ML) 技術に依存しています。以前、サイバーセキュリティにおけるAIと機械学習の記事で紹介したように、これらのツールはサイバーセキュリティ部門やIT部門に大きな支援を提供することができます。人の手を介さずに機械学習だけで脅威を検知できるようになるにはまだ時間がかかるかもしれませんが、セキュリティをレベルアップするために機械学習が扱えるタスクはたくさんあります。

UEBAでどのように機械学習が使用されているかを詳しく見てみましょう。ガートナーのMarket Guide for User and Entity Behavior Analytics（ユーザーとエンティティーの振る舞い分析のマーケットガイド）では、UEBAとその適切なユースケースに関する洞察が掲載されています。そこで指摘されているように、UEBAはUBA以上に、データサイエンスや機械学習を活用して、人や組織の正常なアクティビティと異常なアクティビティを区別することに重点を置いています。

ガートナーは、UEBAが、以下のような、よりきめ細かい分析やより多くの文脈の収集が不可欠なユースケースに適用されると考えています：

•    悪意のある内部関係者

•    ゼロデイ脆弱性を悪用するAPTグループ

•    新しいチャネルが関与するデータ持ち出し

•    ユーザーアカウントのアクセス監視

このようなユースケースでは、攻撃表面の変化を伴うため、ガートナーは、「すべてのユーザー、システムとデータ間のインタラクション」から導き出されるベースラインを確立するために、機械学習 (ML) が不可欠であると指摘しています。しかし、機械学習研究者が指摘しているように、これらのベースラインを算出する方法は一つではありません。

SimplyStats

K-means法のクラスタリング。分類。回帰。成分分析。いずれもUEBAアルゴリズムで使用できます。もしオタク気質が強いようでしたら、これらのトピックの詳細をここで確認できます。

しかし、機械学習ベースの分析を最も強力に推進している人でさえ、限界があると言うでしょう。機械学習ベースの分析は、特に調整が難しく、すべてのUEBAシステムに共通する問題につながる可能性があります；誤検知が多過ぎるのです。言い換えれば、アルゴリズムが非常に敏感で、異常かも知れないが、攻撃や内部者を示唆する状況でも警告を発します。

たとえば、システムアーキテクトが締め切りに間に合わせるために週末に仕事をしていて、何百個ものファイルをコピーする必要があるかも知れません。そして、UEBAのクラスタリングアルゴリズムが、この従業員の振る舞いが異常であると判断し、アカウントをロックすると、結果として重要なプロジェクトが遅延することになります。

UEBA、クリーンデータ、脅威モデル

UEBAにとってのより大きな問題は、セキュリティ情報及びイベント管理 (SIEM) システムの場合と同様、データソースです。

以前、Inside Out Securityブログで指摘したことがありますが、生のWindowsイベントログからセキュリティ分析を行うのは非常に困難です。システムログから関連するイベントを相関させる作業は複雑で（しかもエラーが発生しやすい）プロセスです。その上、リソース集約型の作業でもあります。よりクリーンなファイルに関連したイベント履歴を生成できる、より優れたソリューションだってあります。

UEBAアルゴリズムが抱えるもう1つの問題は、ある意味でゼロから始める必要があることです：正規の教師ありトレーニングを通じて訓練するか、オンザフライで半教師ありトレーニングで訓練する必要があります。この考え方は、単に機械学習の仕組みなので、本質的には間違っていません。

しかし、データセキュリティの分野においては、より重大なインシデントのほとんどがどのように発生するかが分かっているという点で、大きな利点があります。ありがたいことに、MITREの人々が面倒な作業を終えており、多くのテクニックや戦術をさまざまなモデルに整理してくれました。

MITRE AT&CK

これは素晴らしいです！

UEBAでは、異常な振る舞いを判断するための重要な要素を「学習」するために、機械学習技術だけに頼る必要はありません。MITREやその他の組織は、例えば、侵入後の横展開、資格情報へのアクセス、特権昇格などが、攻撃者の使うよく知られた手法の一部であると述べています。

これらのよく理解されているパターンから始めると、イベントデータを整理に大きな一歩を踏み出すことができます。これは、当然、脅威のモデリングの話題につながります。

VaronisがUEBAのリーダーである理由は？

脅威モデルとは、現実世界の攻撃の主な特徴を、より大きく、より意味のあるカテゴリーに整理したものです。ここがVaronisがお手伝いできる範囲です。

Varonisは、予測脅威モデルを使用して、複数のプラットフォームにわたる振る舞いを自動的に分析し、潜在的な攻撃者がいることを警告します。CryptLockerの感染から、サービスアカウントの侵害、不満を持った従業員まで、Varonisはあらゆる種類の異常なユーザーの振る舞いを検出し、警告します。

なのも設定しなくても、Varonisの脅威モデルはすぐに使えます。Varonisは、予測脅威モデルを使用して、複数のプラットフォームにわたる振る舞いを自動的に分析し、潜在的な攻撃者がいることを警告します。CryptLockerの感染から、サービスアカウントの侵害、不満を持った従業員まで、Varonisはあらゆる種類の異常なユーザーの振る舞いを検出し、警告します。

ガートナーのMarket Guide for User and Entity Behavior Analytics（ユーザーとエンティティーの振る舞い分析のマーケットガイド）でVaronisが評価された理由については、こちらをご覧いただくか、今すぐデモを依頼して自分でお確かめください。

ユーザーとエンティティーの振る舞い分析のベストプラクティス

UEBAシステムを稼働状態にした後、可能な限り安全な状態を維持し、投資対効果を最大化するためには、役立つ原則がいくつかあります。

これらのサイバーセキュリティのヒントの一部は、UEBAとその他の種類のセキュリティソフトウェアの両方に共通しています。これらのシステムの使用方法は、セキュリティのレベルを上げるために最も重要な要素の一つで、これはひいては、従業員と、その従業員の持つサイバーセキュリティのベストプラクティスに関する知識と使用方法に依存しています。

要員の訓練

UEBAシステムを正しく使用する上で最も重要な要素の1つは、要員がこれらのシステムを操作するために必要な知識とスキルを備えていることを確認することです。サイバーセキュリティメモテンプレートを使用すると、従業員にサイバーセキュリティの重要性を認識させることができます。また、年間を通じてセキュリティ意識とサイバーセキュリティのベストプラクティスを推進する必要があります。これは、UEBAシステムにおいても、他の種類のセキュリティソフトウェアと同様に、当てはまります。

内部者脅威を考慮する

UEBAシステムを使用する際のより具体的なヒントは、攻撃を検出するルールやポリシーを作成する際に、脅威プロファイル全体を考慮するようにすることです。UEBAの主な利点の一つは、システムで検知するように設定していれば、内部者脅威を組織外からの脅威を同じように効果的に検出できることです。

アクセス権のロックダウン

UEBAシステムの安全を確保するには、他のシステムと同様、適切な要員に適切な権限を付与することにかかっています。UEBAシステムへのアクセス権を全員に許可してはなりません—代わりに、関連するチームメンバーのみがこのデータを見ることができるようにし、システムからのアラートを受け取るユーザーもそのメンバーにします。

権限の昇格に注意

非特権ユーザーアカウントを無害なものと見做してはなりません。ハッカーは一般的にこれらのアカウントを標的にし、特権を昇格させて機密性の高いシステムに侵入しようとします。UEBAシステムは、不正な特権昇格を検出するのに役立つので、そのような事態が発生した場合にはアラートを出すようにソフトウェアを設定する必要があります。

他のツールの使用

UEBAプロセスやツールを、侵入検知システム (IDS) のような基本的な監視システムの代用品として扱ってはなりません。UEBAシステムは、従来の監視インフラストラクチャーを補完するものであって、それを置き換えるものではありません。

UEBAとSIEMの比較

多くのセキュリティ分析担当者が混乱するもう一つの原因は、UEBAとSIEMの違いです。このセクションでは、両者の相違点について確認していきます。

単純な相違点は次のようなものです。セキュリティ情報およびイベント管理 (SIEM) は、ITシステムのセキュリティを包括的に把握するために、複雑なツールとテクノロジーのセットを使用するシステムです。データやイベント情報を活用することにより、通常のパターンや傾向を確認したり、異常な傾向やイベントがあった場合に警告を発することができます。UEBAは、ユーザー（とエンティティー）の振る舞いに関する情報を使用して、通常と異常を判断するという点では、同じように機能します。

もし、現在、セキュリティ情報およびイベント管理 (SIEM) ツールを使用して、脅威の管理や規制へのコンプライアンスのためにユーザーのアクティビティを監視しているのであれば、これは素晴らしいことです。あなたの組織は有利なスタートを切っています。SIEMは、ファイアウォール、OSログ、syslog、ネットワークトラフィックログなどで収集されたシステムイベントを監視するため、セキュリティ分析のスタート地点として優れたものです。

SIEMを持っているのに、なぜUBAが必要なのかと疑問に思いませんか？一見、UBAとSIEMは非常に似ているように見えますが、よくよく調べてみると、両者が行っていることは異なります。

SIEMがある場合、UEBAが必要ですか？

いい質問です。その答えは、お客様のビジネスの規模や、侵入検知システムに何を求めるかによって異なります。

結論は次の通りです。SIEMは優れたセキュリティ管理ツールですが、通常は、効果的でインテリジェントな脅威の検出と脅威への対応が欠けています。高度な攻撃者には比較的簡単に回避されやすく、広範囲の脅威よりもリアルタイムの脅威に重点を置いています。UEBAソリューションは、より長期間にわたって発生する可能性のある、はるかに高度な脅威を検出することができます。これら2つのツールを併用することで、組織はより効果的に脅威を防御することができます。

UBAは、システムイベントではなく、より特定のユーザーアクティビティに焦点を当てることにより、使用パターンに基づいた従業員のプロファイルを作成し、ユーザーの振る舞いに異常が見られた場合にはアラートを送信します。通常、UEBAアラートは、電子メール、SMSで送信されるほか、SIEMに取り込まれることもあります。

とは言え、SIEMに加えてUEBAが必要かどうかを判断する際に考慮すべき点がいくつかあります：

1.    セキュリティデバイス、ネットワークインフラストラクチャー、システム、アプリケーションによって生成されたセキュリティイベントデータを分析するSIEMが欲しいのか、UEBAがもたらすユーザーのアクティビティやファイルアクセスパターンといったシステム上のユーザーの行動に関する深い洞察が欲しいのかを判断します。

2.    また、ユースケースはセキュリティ担当者が、どのソリューションを使用するのかを決定するための要件を特定し、明確化し、優先順位を付けるのにも大いに役立ちます。さらに、これらの補完的なテクノロジーの違いを実際に「理解」するのにも良い方法です。

もし、コンプライアンスに関連するプロジェクトがあり、アクセスアクティビティを追跡する必要がある場合には、以下のSIEMのユースケースが役立つでしょう：

o    コンプライアンスレポート

o    イベントの監視—アクセスアクティビティ、データアクセス、アプリケーションアクティビティ、イベント管理

一方、内部者脅威や、組織のデジタル資産の保護に懸念がある場合には、UEBAを検討することをお勧めします。こちらのユースケースもいくつかご紹介します：

o    内部者脅威の企業セキュリティ

o    価値の高い知的財産や保護が必要な機密データを持つ組織を保護します—金融機関、政府機関、通信、教育、医療、小売など。

1.    SIEMを既に導入している場合には、UEBAテクノロジーに移行する前に、ユーザー監視、プロファイリング、異常検出機能を評価して、自社のユースケースを満たせるかどうかを判断して下さい。

つまり、SIEMにもUEBAにも、組織がビジネスとセキュリティのニーズを満たすのに役立つ重要なビジネスケースがあります。内部者攻撃は、現実のものであり、対応コストも高いものなので、SIEMを補完する優れた機能を備えているUEBAを見逃してはなりません。

ユーザーとエンティティーの振る舞い分析に関するよくある質問 (FAQ)

それでも、UEBAについて、そしてUEBAがシステムの保護にどのように役立つかについて、まだ疑問をお持ちかも知れません。ここでは、最もよく寄せられる質問をご紹介します。

Q: UEBAセキュリティとは何ですか？

A: UEBAは通常「ユーザーとエンティティの振る舞い分析 (User and Entity Behavior Analytics) 」の略です。これは、機械学習と深層学習を使用して企業ネットワーク上のユーザーの振る舞いをモデル化し、サイバー攻撃の兆候である匿名の振る舞いを浮き彫りにする、初期のサイバーセキュリティプラクティスのユーザー振る舞い分析 (UBA) を拡張したものです。

Q: Forcepoint UEBAとは何ですか？

A: ForcepointはUEBAソリューションの1つです。このシステムは、企業内のユーザーのアクティビティベースのシナリオ（ログイン、印刷ジョブなどのイベント）とアクティビティ以外をベースとしたシナリオ（人事データなどのエンティティー情報）を収集し、分析します。そして、この振る舞いの異常を強調し、サーバー攻撃の可能性について警告することができます。

Q: ユーザー振る舞い分析 (UEBA) はどのように機能しますか？

A: UEBAシステムはユーザーやエンティティーの通常の振る舞いに関する情報をシステムログから収集します。次に、これらのシステムは、高度な分析手法を適用してデータを分析し、ユーザーの振る舞いのベースラインを設定します。その後、UEBAはエンティティーの振る舞いを継続的に監視し、同じエンティティーや類似したエンティティーのベースラインの振る舞いと比較します。この分析の目的は、異常な振る舞いや「通常」のパターンからの逸脱を検出することにあります。

おわりに

UEBAは、お客様のサイバーセキュリティスイートに強力な付加価値を与えることができます。UEBAは、脅威の検出を実行し、侵入防御システムや脅威検出ソフトウェアを補完する新しい方法を提供します。

UEBAシステムは、疑わしいアクティビティがどのようなものかを学ぶのに優れた方法を提供することができるため、新しいセキュリティエンジニアのトレーニングにも有用なツールです。サイバーセキュリティで働くことに関する記事で指摘したように、サイバーセキュリティのキャリアはホワイトハットハッキングだけではありません—さまざまな性格タイプに適合するさまざまな道があり、UEBA分析もその1つです。

しかし、究極的には、UEBAシステムはサイバーセキュリティの万能薬では無いことを忘れてはなりません。UEBAは、Varonisのようなフル機能の脅威検出ソリューションと併用する必要があります。併用することにより、UEBAシステムはサイバー攻撃を検出して対応するための時間を大幅に短縮し—従来型の製品が見逃していた脅威を見つけます。

その他の参考資料

オリジナルブログ記事（英文）「What is UEBA? Complete Guide to User and Entity Behavior Analytics」
https://www.varonis.com/blog/user-entity-behavior-analytics-ueba

・Technopedia: User and Entity Behavior Analytics（英文）
https://www.techopedia.com/definition/32366/user-and-entity-behavior-analytics-ueba

・InfoQ: How to Seamlessly Evolve DevOps into DevSecOps（英文）
https://www.infoq.com/articles/evolve-devops-devsecops/

・InfoQ: How to Use Chaos Engineering to Break Things Productively（英文）
https://www.infoq.com/articles/chaos-engineering-security-networking/

・SimplyStats
https://simplystatistics.org/

・Medium: The 5 Clustering Algorithms Data Scientists Need to Know（英文）
https://towardsdatascience.com/the-5-clustering-algorithms-data-scientists-need-to-know-a36d136ef68

・Varonis Data Security Platform
https://www.varonis.com/ja/products/data-security-platform

・MITRE ATT&CK Enterprise Tactics（英文）
https://attack.mitre.org/tactics/enterprise/

・当コラム第3回「Varonisが内部者の脅威との戦いを支援する3つの方法」
https://www.innovations-i.com/column/data-security/3.html

ブログ記事

Michael Buckbee

Michaelは、システム管理者やソフトウェア開発者として、シリコンバレーのスタートアップ企業、米国海軍などで働いてきました。

（翻訳：跡部 靖夫）