UBA (User Behavior Analytics)とは、ユーザー行動分析の略です。また、ユーザーとエンティティの行動分析(UEBA)とも呼ばれることもあり、通常の手段では見過ごされがちな内部脅威の特定と対応を支援するソフトウェアカテゴリーを指します。UBAでは、機械学習と分析を活用して、データを基に一連のアルゴリズムを実行し、ユーザー規範から逸脱する行動を検出することにより、攻撃者が企業の環境内を探ると同時に、その行動を特定、追跡します。
内部脅威は特定が難しい一方、その被害は大きくなりがちであるため、資格情報を盗み出す、不正を働くといった悪質な行為の兆候を示す不審な行動パターンを検出できるUBAは、非常に有用なユーザー行動分析ツールです。その結果、セキュリティを強化することにつながります。また、UBAは従来のSIEMと比較して、より広範囲な分析が可能です。
ユーザーとエンティティの行動分析は、ユーザー行動分析の別名です。脅威が進化するのと同様に、UBA市場の定義も変化しています。「エンティティ」という言葉が追加されたのは、人間だけでなく、デバイス、アプリケーション、ネットワークなどの悪質な行動も監視対象に含まれ、ユーザーの行動が複数のソースで相関付けられるようになったためです。「UEBA」という言葉を提唱したガートナー社は、エンティティの「E」は「脅威をより正確に特定するために、ユーザー以外のエンティティの行動をユーザーの行動と相関付けるなどの方法で、エンティティをプロファイリングすることが増えている現実を反映している」と述べています。
これはつまり、エンティティ、特にユーザー、デバイス、システムアカウント、特権アカウントの行動についての異常を、たとえ発生の間隔が長く頻度が少なくても検出できるようになったということです。ほとんどのセキュリティツールでは、決められたプロファイルと一致しない脅威を検出できませんが、UEBAなら、複数の変動要因を結び付けることによって、より多くの潜在的脅威を突き止めることができます。UEBAを使用すれば、内部に侵入しようとする脅威やすでに侵入している脅威から企業を守ることができます。
『Splunk UBAを使用した内部脅威の検出』をぜひご覧ください。
ユーザー行動分析と、ユーザーとエンティティの行動分析は、基本的には同じものです。ほとんどのUBAソリューションが「エンティティ」も対象としているため、ガートナー社が「UEBA」と呼ぶようになりました。ただし、UEBAの方が、対象としてユーザーとエンティティの行動を明確に区別しているため、呼び方として一般的と考えてよいでしょう。(「UBA」は、SplunkのUEBAツールの名称でもあります。このツールでは、多次元的な行動ベースライン、動的なピアグループ分析、教師なし機械学習を使用して、内部脅威を検出できます。)
UBA/UEBAでは、ユーザーや資産の行動が過去の行動やピアグループと比較され、逸脱していないかどうかが監視されます。まず、ユーザー、デバイス、アプリケーション、特権アカウント、共有サービスアカウントごとにベースラインが作成され、規範との標準偏差が算出されます。その結果見つかった問題について、その脅威の度合いを示すスコアが算出され、日次のアラート報告とともに、注意が必要な悪質性の高いユーザーと脅威の予防策が提示されます。
UBAでは、静的ルールの違反による大量のアラートが表示されるのではなく、解消すべき脅威だけが、注意が必要な理由を裏付ける証拠とともに表示されます。
UBAで検出されて解消が必要な脅威は、いくつかの方法でセキュリティアナリストに通知されます。ユーザーインターフェイスから脅威を確認する以外に、修復の担当者 (IT/セキュリティ ヘルプ デスクなど) に脅威情報をメールで通知したり、セキュリティダッシュボードに公開したり、外部のチケットシステムやセキュリティシステムに転送したりできます。UBAソリューションで提供されるプラグインによっては、インシデントやイベントが検出されたときに、対応策を自動的に実行することもできます。
動作分析は、人間の行動に関するインサイトを提供する、データ分析の一種です。企業、システム、プラットフォーム、製品とやり取りするすべての人間または機械が、動作分析の対象になり得ます。
動作分析ツールでは、複数のチャネルからユーザーの操作に関する大量のRawイベントデータが取り込まれ、ページ遷移から、ソーシャルメディアの利用、個々のセッション、各ページでの滞在時間まで、あらゆる行動が調べられます。こうしたデータには、コンバージョン率とクリック単価 (CPC)、パイプラインとその金銭価値といった、広告/マーケティング指標が含まれることがあります。また、人口統計や地理に関する情報も含まれることがあります。
機械学習は、UBAで重要な役割を果たし、高度な分析に対応した拡張性の高いデータプラットフォームの実現に欠かせない要素です。UBAソリューションの脅威検出機能では、マシンデータを生成する環境内の複数のデータソースで検出された異常な行動が相関付けされます。
機械学習方法論に基づく分析ツールでは、シグネチャや人手による分析が不要なため、マルチエンティティの行動プロファイリングやピアグループ分析が可能です。これにより、かなり微妙な差異まで監視して対応することができます。
これらの機能によって、脅威や異常を高い精度で自動的に検出することもできます。機械学習を利用してさまざまなアルゴリズムで検出された脅威の兆候を結び付けることにより、脅威である可能性が高いイベントを特定できます。
分析チームやセキュリティオペレーションセンター(SOC)チームは、機械学習を組み込むことで、迅速な調査の実施や有意義なインサイトの獲得、インシデントの根本原因の判断、過去のトレンドの活用、検出内容の共有が可能になり、何千ものアラートや誤検知によって忙殺されることはなくなります。つまり、どのようなセキュリティインシデントであっても、よりスピーディーに検出し、影響を分析して迅速に対応できるようになります。
UBAは、SIEM (セキュリティインシデント/イベント管理) システムに欠かせないコンポーネントの1つです。UBAツールは、SIEMソリューションと連携して、ネットワーク内の行動パターンに関するインシデントを提供します。2つのソリューションを組み合わせることによって、人間の行動と機械の動作の両方を調査し脅威を検出できるというメリットが得られます。
UBAが検出する異常行動をSIEMで取り込むように設定すれば、既知と未知の脅威に関する追加のコンテキストを取得したり、脅威特定の精度を高めたりすることもできます。これにより、誤検知を減らし、通常のルールベースの相関付けでは検出できない高信頼度の脅威を検出できるため、アナリストの作業時間を節約し、SOCの作業効率を向上させることができます。
UBAは、SOCで、エンドユーザーの異常な行動を特定するという重要な役割を果たします。また、SOCチームに送られるアラートをフィルタリングして、チームが緊急性の高い脅威や複雑な脅威に集中して対応できるようにする役割もあります。
UBAを利用すれば、SOCのアナリストは以下の作業をより容易かつ効率的に実行できます。
このような高度な分析機能を組み込んだ適応型の情報セキュリティアーキテクチャを構築すれば、今日のセキュリティ環境でサイバー攻撃をより効果的に防止、検出し、対応することができます。
ユーザー行動分析ツールを選ぶときは、脅威のレビュー、ユーザーフィードバックの学習、効率化されたワークフロー、キルチェーンの検出の4つの機能に注目します。
最適なUBAツールは、最終的には、自社の優先事項や懸念事項によって決まります。UBA分野のベンダー評価と、UBAによるセキュリティ強化方法について詳しくは、ガートナー社の『Reviews for User and Entity Behavior Analytics Solutions (ユーザーとエンティティの行動分析ソリューションのレビュー)』を参照してください。
一般的に、UBAの導入は、データの取り込み、ワークフローの設定、ユースケースの特定、モデルのカスタマイズの4つのステップで行います。
ユーザーデータを分析するには、まず、UBAソリューションにデータを取り込みます。多くのUBAツールには、単純で一般的なログファイル形式の読み取りから、プログラムによる独自データ形式の処理まで、インフラストラクチャ内の複数のソースのデータを特定、検証して、取り込むためのオプションがいくつか用意されています。
環境が整い、関連するイベントデータを用意できたら、次のステップではワークフローを設定します。統合型のワークフローであれば、リスクの高いユーザーについてチケットをオープンしたり、監視を開始したりして、インシデントにすばやく対応できます。調査とフィードバックの効率的なループを構築すれば、問題が起きてもセキュリティチーム内で混乱が起こることはありません。
次に、UBAツールの分析対象にするユースケースを決める必要があります。一般的なユースケースには、データの流出からアカウントの侵害や悪用まで、さまざまなものがあります。また、社内のセキュリティアーキテクトやセキュリティエンジニアに協力を求め、フィードバックを提供してもらう必要もあります。多くのUBAソリューションには、どの企業でも適用できるユースケースがルールセットの形で用意されていますが、それが自社の優先順位と一致しているとは限らないことに注意してください。ニーズや目的は、小売、eコマース、金融サービス、公共機関など、業界によっても大きく異なります。
最後に重要な点として、異常スコアリングモデルをカスタマイズする必要があります。主要な資産やユーザー/部門に関するデータをインプットとして提供すれば、それに応じてリスクスコアも高くなります (たとえば、社内の研究チームのメンバーが関与するデータ流出は、マーケティングチームのメンバーによる流出よりも重大な脅威として認識させることができます)。UBAツールでは、一般的に、ピアグループのプロファイルから逸脱した場合にもスコアが高くなります。リスクスコアリングのロジックが自社の環境に適していない場合は、そのロジックを事前に調整しましょう。
UBAの実装方法を決めるときは、以下の点を検討します。
UBA/UEBAソリューションの価値を最大限に引き出すには、ロードマップを作成する、継続的に監視する、手順を確立する、セキュリティチームのスキルレベルを上げる、という4つのベストプラクティスを実践します。
サイバー脅威が増大すると同時に、セキュリティ侵害による被害が深刻化し、セキュリティに関する規制が強化される中、セキュリティチームは、イベントの相関付け、脅威インテリジェンスの取得、セキュリティデータの集約などを実践するためにUBAテクノロジーを活用しています。
Ponemon Instituteの「2018年版内部脅威のコスト:グローバル」調査によると、回答企業の約4分の1が、データ漏えいの根本原因は悪意のある内部者の犯行または外部からの攻撃であると答えています。また、インシデント1件あたりの平均コストは約60万7,745ドル、データ漏えいの平均総コストは876万ドルにものぼります。これらの攻撃は、多くの場合、侵害を受けたネットワーク内のユーザーの行動から特定可能です。
企業のセキュリティは、問題をいかに迅速に特定して修復し、大規模な損失を回避できるかにかかっています。そのため、企業のセキュリティチームは、さまざまなUBAシステムの機能を調べて、自社のニーズに最も適したシステムを見つけることが非常に重要です。