データインサイダー

ユーザー行動分析 (UBA)/ユーザーとエンティティの行動分析 (UEBA) とは?

ユーザー行動分析 (UBA) とは?

ユーザー行動分析とは、通常の手段では見過ごされがちな内部脅威の特定と対応を支援するソフトウェアカテゴリーを指します。ユーザーとエンティティの行動分析 (UEBA) と呼ばれることもあります。UBA では、機械学習と分析を活用して、データを基に一連のアルゴリズムを実行し、ユーザー規範から逸脱する行動を検出することにより、攻撃者が企業の環境内を探ると同時に、その行動を特定、追跡します。

内部脅威は特定が難しい一方、その被害は大きくなりがちであるため、資格情報を盗み出す、不正を働くといった悪質な行為の兆候を示す不審な行動パターンを検出できる UBA は、非常に有用なユーザー行動分析ツールです。

脅威には以下のタイプがあります。

  • 権限アカウントの悪用: アクセス権の不適切な使用
  • 権限のエスカレーション: アクセス権の変更
  • データの流出: マルウェアや潜入者による組織内の機密データの漏洩
  • 異常な行動: 外部ドメインへのアクセスや、権限の高いアセットへのリモートアクセスおよび通常とは異なるログイン時間やログイン場所
  • 資格情報の侵害: 悪意のある目的でのアカウントへの不正アクセス
UBA と UEBA

ユーザーとエンティティの行動分析 (UEBA) とは?

ユーザーとエンティティの行動分析は、ユーザー行動分析の別名です。脅威が進化するのと同様に、UBA 市場の定義も変化しています。「エンティティ」という言葉が追加されたのは、人間だけでなく、デバイス、アプリケーション、ネットワークなどの悪質な行動も監視対象に含まれ、ユーザーの行動が複数のソースで相関付けられるようになったためです。「UEBA」という言葉を提唱したガートナー社は、エンティティの「E」は「脅威をより正確に特定するために、ユーザー以外のエンティティの行動をユーザーの行動と相関付けるなどの方法で、エンティティをプロファイリングすることが増えている現実を反映している」と述べています。

data-sources

これはつまり、エンティティ、特にユーザー、デバイス、システムアカウント、特権アカウントの行動についての異常を、たとえ発生の間隔が長く頻度が少なくても検出できるようになったということです。ほとんどのセキュリティツールでは、決められたプロファイルと一致しない脅威を検出できませんが、UEBA なら、複数の変動要因を結び付けることによって、より多くの潜在的脅威を突き止めることができます。UEBA を使用すれば、内部に侵入しようとする脅威やすでに侵入している脅威から企業を守ることができます。

UBA と UEBA の違い

ユーザー行動分析と、ユーザーとエンティティの行動分析は、基本的には同じものです。ほとんどの UBA ソリューションが「エンティティ」も対象としているため、ガートナー社が「UEBA」と呼ぶようになりました。ただし、UEBA の方が、対象としてユーザーとエンティティの行動を明確に区別しているため、呼び方として一般的と考えてよいでしょう。(「UBA」は、Splunk の UEBA ツールの名称でもあります。このツールでは、多次元的な行動ベースライン、動的なピアグループ分析、教師なし機械学習を使用して、内部脅威を検出できます。)

UBA/UEBA の仕組み

UBA/UEBA では、ユーザーや資産の行動が過去の行動やピアグループと比較され、逸脱していないかどうかが監視されます。まず、ユーザー、デバイス、アプリケーション、特権アカウント、共有サービスアカウントごとにベースラインが作成され、規範との標準偏差が算出されます。その結果見つかった問題について、その脅威の度合い示すスコアが算出され、日次のアラート報告とともに、注意が必要な悪質性の高いユーザーと脅威の予防策が提示されます。

UBA/UEBA を使用して脅威を解消する方法

UBA では、静的ルールの違反による大量のアラートが表示されるのではなく、解消すべき脅威だけが、注意が必要な理由を裏付ける証拠とともに表示されます。

UBA で検出されて解消が必要な脅威は、いくつかの方法でセキュリティアナリストに通知されます。ユーザーインターフェイスから脅威を確認する以外に、修復の担当者 (IT/セキュリティ ヘルプ デスクなど) に脅威情報をメールで通知したり、セキュリティダッシュボードに公開したり、外部のチケットシステムやセキュリティシステムに転送したりできます。UBA ソリューションで提供されるプラグインによっては、インシデントやイベントが検出されたときに、対応策を自動的に実行することもできます。

UBA/UEBA の概要

動作分析 (BA) とは?

動作分析は、人間の行動に関するインサイトを提供する、データ分析の一種です。企業、システム、プラットフォーム、製品とやり取りするすべての人間または機械が、動作分析の対象になり得ます。

動作分析ツールでは、複数のチャネルからユーザーの操作に関する大量の Raw イベントデータが取り込まれ、ページ遷移から、ソーシャルメディアの利用、個々のセッション、各ページでの滞在時間まで、あらゆる行動が調べられます。こうしたデータには、コンバージョン率とクリック単価 (CPC)、パイプラインとその金銭価値といった、広告/マーケティング指標が含まれることがあります。また、人口統計や地理に関する情報も含まれることがあります。

行動分析の用途には以下のものがあります。

  • e コマース/小売:購入の傾向に基づいてお勧め商品を提案します。
  • オンラインゲーム:利用状況やユーザーの好みを調べて、現行および将来のリリースの参考にします。
  • アプリケーション開発:ユーザーによるアプリケーションの操作方法を調べて、将来の使用方法や基本設定を予測します。
  • セキュリティ:異常な行動を監視して、資格情報の侵害や内部脅威を検出します。

UBA での機械学習の役割

機械学習は、UBA で重要な役割を果たし、高度な分析に対応した拡張性の高いデータプラットフォームの実現に欠かせない要素です。UBA ソリューションの脅威検出機能では、マシンデータを生成する環境内の複数のデータソースで検出された異常な行動が相関付けされます。

機械学習方法論に基づく分析ツールでは、シグネチャや人手による分析が不要なため、マルチエンティティの行動プロファイリングやピアグループ分析が可能です。これにより、かなり微妙な差異まで監視して対応することができます。

これらの機能によって、脅威や異常を高い精度で自動的に検出することもできます。機械学習を利用してさまざまなアルゴリズムで検出された脅威の兆候を結び付けることにより、脅威である可能性が高いイベントを特定できます。

分析チームやセキュリティ オペレーション センター (SOC) チームは、機械学習を組み込むことで、迅速な調査の実施や有意義なインサイトの獲得、インシデントの根本原因の判断、過去のトレンドの活用、検出内容の共有が可能になり、何千ものアラートや誤検知によって忙殺されることはなくなります。つまり、どのようなセキュリティインシデントであっても、よりスピーディーに検出し、影響を分析して迅速に対応できるようになります。

what-role

UBA と SIEM を併用するメリット

UBA は、SIEM (セキュリティインシデント/イベント管理) システムに欠かせないコンポーネントの 1 つです。UBA ツールは、SIEM ソリューションと連携して、ネットワーク内の行動パターンに関するインシデントを提供します。2 つのソリューションを組み合わせることによって、人間の行動と機械の動作の両方を調査し脅威を検出できるというメリットが得られます。

UBA が検出する異常行動を SIEM で取り込むように設定すれば、既知と未知の脅威に関する追加のコンテキストを取得したり、脅威特定の精度を高めたりすることもできます。これにより、誤検知を減らし、通常のルールベースの相関付けでは検出できない高信頼度の脅威を検出できるため、アナリストの作業時間を節約し、SOC の作業効率を向上させることができます。

セキュリティ オペレーション センター (SOC) での UBA の役割

UBA は、SOC で、エンドユーザーの異常な行動を特定するという重要な役割を果たします。また、SOC チームに送られるアラートをフィルタリングして、チームが緊急性の高い脅威や複雑な脅威に集中して対応できるようにする役割もあります。

UBA を利用すれば、SOC のアナリストは以下の作業をより容易かつ効率的に実行できます。

  1. 行動モデリングとピアグループ分析によって内部脅威を特定する。
  2. 異常スコアリングによって内部脅威を集中的に検出する。
  3. インシデント対応を自動化し、脅威を継続的に監視する。

このような高度な分析機能を組み込んだ適応型の情報セキュリティアーキテクチャを構築すれば、今日のセキュリティ環境でサイバー攻撃をより効果的に防止、検出し、対応することができます。

導入方法

自社に最適な UBA ツールを選択する方法

ユーザー行動分析ツールを選ぶときは、脅威のレビュー、ユーザーフィードバックの学習、効率化されたワークフロー、キルチェーンの検出の 4 つの機能に注目します。

  1. 脅威のレビューと調査:この機能により、不審な行動を幅広く可視化して、ユーザー、アカウント、デバイス、アプリケーションを含む複数のソースからコンテキストを取得できます。
  2. ユーザーフィードバックの学習:この機能では、自社のプロセス、ポリシー、資産、ユーザーの役割と職務に基づいて、異常検出モデルをカスタマイズできます。異常スコアリング機能では、一連のイベントに関する体系を確立して、精度をいっそう高めると同時に、脅威の度合いを表すことができます。
  3. 脅威に対する効率化されたワークフロー:数十億件の Raw イベントを、数千件の異常、さらには数百件の脅威に絞り込むことで、レビューと対応を迅速化できます。機械学習アルゴリズムを利用すれば、人手で分析を行うことなく、統計と異常の相関付けによって、悪意のある内部関係者の検出精度を向上させることができます。
  4. マルウェアと内部脅威者の検出/攻撃ベクトルの特定:マルウェアのアプリケーション間やデバイス間の移動と、内部脅威の拡散をリアルタイムで検出できます。また、行動ベースの異常 (異常なマシンアクセス、異常なネットワークアクティビティなど) の検出、ボットネットまたはコマンド アンド コントロールのアクティビティ (マルウェアビーコンなど) の特定も可能です。

最適な UBA ツールは、最終的には、自社の優先事項や懸念事項によって決まります。UBA 分野のベンダー評価と、UBA によるセキュリティ強化方法について詳しくは、ガートナー社の『Reviews for User and Entity Behavior Analytics Solutions (ユーザーとエンティティの行動分析ソリューションのレビュー)』を参照してください。

choose-uba-tool

UBA を使い始めるには?

一般的に、UBA の導入は、データの取り込み、ワークフローの設定、ユースケースの特定、モデルのカスタマイズの 4 つのステップで行います。

ユーザーデータを分析するには、まず、UBA ソリューションにデータを取り込みます。多くの UBA ツールには、単純で一般的なログファイル形式の読み取りから、プログラムによる独自データ形式の処理まで、インフラストラクチャ内の複数のソースのデータを特定、検証して、取り込むためのオプションがいくつか用意されています。

環境が整い、関連するイベントデータを用意できたら、次のステップではワークフローを設定します。統合型のワークフローであれば、リスクの高いユーザーについてチケットをオープンしたり、監視を開始したりして、インシデントにすばやく対応できます。調査とフィードバックの効率的なループを構築すれば、問題が起きてもセキュリティチーム内で混乱が起こることはありません。

次に、UBA ツールの分析対象にするユースケースを決める必要があります。一般的なユースケースには、データの流出からアカウントの侵害や悪用まで、さまざまなものがあります。また、社内のセキュリティアーキテクトやセキュリティエンジニアに協力を求め、フィードバックを提供してもらう必要もあります。多くの UBA ソリューションには、どの企業でも適用できるユースケースがルールセットの形で用意されていますが、それが自社の優先順位と一致しているとは限らないことに注意してください。ニーズや目的は、小売、e コマース、金融サービス、公共機関など、業界によっても大きく異なります。

最後に重要な点として、異常スコアリングモデルをカスタマイズする必要があります。主要な資産やユーザー/部門に関するデータをインプットとして提供すれば、それに応じてリスクスコアも高くなります (たとえば、社内の研究チームのメンバーが関与するデータ流出は、マーケティングチームのメンバーによる流出よりも重大な脅威として認識させることができます)。UBA ツールでは、一般的に、ピアグループのプロファイルから逸脱した場合にもスコアが高くなります。リスクスコアリングのロジックが自社の環境に適していない場合は、そのロジックを事前に調整しましょう。

UBA の実装方法を決めるときは、以下の点を検討します。

  • 利用できる行動データのタイプと量
  • 自社の知識レベルと、UBA の実装と管理を担当するセキュリティ担当者を育成できるかどうか
  • ユーザーが利用するネットワークの規模と利用状況 (リモート拠点の数、ユーザーのモバイル利用の度合いなど)

UBA の価値を最大限に引き出すには?

UBA/UEBA ソリューションの価値を最大限に引き出すには、ロードマップを作成する、継続的に監視する、手順を確立する、セキュリティチームのスキルレベルを上げる、という 4 つのベストプラクティスを実践します。

  1. ロードマップを作成する:自社にとっての UBA 導入の目的を考えます。たとえば、最優先事項が、データの流出を完全に無くすことなのか、アカウントの侵害やマルウェア感染を検出することなのか、といったことを検討します。特定の目標を定めたら、それに合わせて適切なツールを選択します。その後、機能を本格展開するためのマイルストーンを設定します。
  2. 継続的に監視する:UBA を導入しただけでは、ツールは適切に機能しません。効果を出すには、整備が必要です。どんなに直感的に使えるツールでも、システムを継続的に評価し、ビジネスの状況に合わせて調整する必要があります。
  3. 手順を確立する:どのような行動を悪質と判断してアラートを生成するか、また、その行動が検出されたときにどの対応策を実行するかについて、条件を定める必要があります。そうしないと、セキュリティチームの元に大量の通知が届くことになります。これらの手順を確立した後も、継続的に調整することで、誤検知のアラートを減らし、真の脅威に集中して対応することができます。
  4. スキルギャップを埋める:UBA を導入すればセキュリティチームの負担が軽減されますが、だからといってセキュリティチームが不要になるわけではありません。セキュリティ環境の変化に対応するには、ソリューションの実装、保守、継続的な調整に関するスタッフのトレーニングが欠かせません。
best-value

結論:UBA を使わない理由はない

サイバー脅威が増大すると同時に、セキュリティ侵害による被害が深刻化し、セキュリティに関する規制が強化される中、セキュリティチームは、イベントの相関付け、脅威インテリジェンスの取得、セキュリティデータの集約などを実践するために UBA テクノロジーを活用しています。

Ponemon Institute の「2018 年版内部脅威のコスト:グローバル」調査によると、回答企業の約 4 分の 1 が、データ漏えいの根本原因は悪意のある内部者の犯行または外部からの攻撃であると答えています。また、インシデント 1 件あたりの平均コストは約 60 万 7,745 ドル、データ漏えいの平均総コストは 876 万ドルにものぼります。これらの攻撃は、多くの場合、侵害を受けたネットワーク内のユーザーの行動から特定可能です。

企業のセキュリティは、問題をいかに迅速に特定して修復し、大規模な損失を回避できるかにかかっています。そのため、企業のセキュリティチームは、さまざまな UBA システムの機能を調べて、自社にニーズに最も適したシステムを見つけることが非常に重要です。