1 UEBAとは
UEBAとは「User Entity Behavior Analytics」の頭文字をとった言葉で、ユーザ(User)や機械、物体(Entity)の振る舞い(Behavior)をもとにした分析(Analytics)を行うことで、従来では検出しにくかったインシデントを早期に検出するインシデントの検出手法です。
少しイメージがつきにくいのでUEBAにおける検出手法を一般的な事例に置き換えてみましょう。
ある男性の通常の振る舞いとして、「毎週金曜日に必ず20時ころに自宅に帰宅する」という行動を日常的に行っていたとします。
しかし、ある日以下のA-Cの振る舞いを男性はしていました。
- A.金曜日に22時に自宅に帰宅しました。
- B.上着から若干の煙の臭いがします。
- C.男性の顔が若干赤くなっています。
このときAだけでは男性が行った通常と異なる振る舞いを特定することはできません。
しかし、A-Cの事実を積み上げていくことにより、「男性は焼肉を食べに行って飲んで帰宅した」という通常とは異なる振る舞いを特定することができます。このような「少しの事実の積み上げ」のデータをもとに分析をする手法がUEBAの特徴となります。
事例と同様にUEBAをセキュリティ分析に利用すると、「オフィスの入退室」「ログイン時間」「ユーザが利用するWebアクセスに関する情報」などのユーザの振る舞いを学習、分析させることで、通常とは異なる振る舞い検出することができます。これによりユーザの業務以外の活動(マルウェアによる活動や内部不正など)を検出することができます。
2 なぜUEBAなのか
UEBAは近年、インシデント検知という点で着目されています(※1)。
ではなぜこのような検知手法が着目されているのでしょうか。
その理由として大きく2点考えられます。
- 1.攻撃手法の高度化、多様化
近年、サイバー攻撃の件数は増加の一途をたどっています。(※2)
また組織的な攻撃の増加や、攻撃手法の高度化、多様化により、従来の防御方法やブラックリストに基づく検知手法だけでは、攻撃を防御、検知することが困難になっています。
そこで明示的に定められた異状の検知だけではなく、より広範囲な視点からユーザの振る舞いを確認できるUEBAが重要視されています。 - 2.大規模データ分析による精度の向上
UEBAはユーザの振る舞いを分析するにあたり、ユーザの振る舞いを統計情報として整理します。統計情報をとり、正確にユーザの振る舞いを把握するためには大規模なデータ分析が欠かせません。現在の技術の進化(大容量/低価格なメモリやストレージ、Hadoop等の分散データ処理技術)により、従来では困難であった大規模なデータ分析を実現し、振舞分析の精度が依然と比べ向上しました。
3 UEBAを導入する際の注意点
UEBAは従来のSIEMと比べより広範囲な分析を可能にしますが、UEBAならではの注意点が存在します。
UEBAを導入するうえで最大の注意点は、社内で利用しているシステムのIDを統一する必要があるという点です。複数のシステムで単一のユーザが異なるIDを利用している場合、システムごとに別ユーザとして扱われてしまい、単一のユーザとして一貫した振舞分析をすることができません。その結果、分析の精度が低下し、意図したインシデントの検知ができなくなる恐れがあります。
4 まとめ
UEBAとはユーザや機械の通常とは異なる振る舞いをもとにインシデントを検出する分析手法です。UEBAは攻撃手法の変化や技術の進化を背景に注目度が高まっています。UEBAの能力を十分に発揮するためには、ログを収集するだけではなく、IDの統一やルールのチューニングなど様々な作業が必要となります。
弊社ではUEBAを活用したインシデント検知に取り組んでおります。UEBAを活用したインシデントの検知にご興味をお持ちの方はぜひ弊社までご相談ください。
https://www.gartner.com/jp/newsroom/press-releases/pr-20180710