UEBAとは?振る舞い分析で内部不正をあぶりだす
はじめに
働き方の多様化、また新型コロナウイルス感染症の拡大から、テレワークを導入した企業はここ数年でかなり多くなりました。それとともに懸念されるのが内部不正のリスクです。オフィス外に端末を持ち出すことによって監視の目が甘くなり、内部不正を働きやすくなる環境下では、これまで以上にセキュリティ対策を強固なものにしなければなりません。
本記事ではニューノーマルな働き方に対応した、新しいセキュリティ技術といわれるUEBAについて詳しく解説していきます。
振る舞い分析技術、UEBAとは
UEBAはUser and Entity Behavior Analyticsを略した言葉で、直訳するとユーザおよびエンティティの行動分析となります。つまりユーザ(利用者)やエンティティ(実体=サーバやルータなど)の行動や振る舞いをもとに、分析を行うツールです。
ユーザやエンティティの動作、行動を学習し、通常とは異なる動きを素早く検知することで、不正な行動やセキュリティ上に影響がないかを特定します。従来のセキュリティ対策にはなかった振る舞いを察知し、インシデントにつながる脅威を防ぐという、新しいセキュリティ技術です。
UEBAの仕組み
UEBAの概要が分かったところで、実際どのように分析を行い、どのような学習機能が備わっているのか、UEBAの仕組みについて説明します。
UEBAの分析方法
UEBAは組織のユーザやエンティティの動きや振る舞いを監視し、記憶します。そうやって平時のユーザやエンティティの振る舞いが情報として蓄積され、通常の動きとは異なる様子や行いがサイバー攻撃やセキュリティ上の脅威につながるかどうかを分析します。
例えば悪意のある第三者が組織のユーザになりすまし、通常通りログインを行ったとしても、そこから先(悪意のある動き)の行動は通常の振る舞いとはあきらかに異なるため、セキュリティ上の脅威として検出することができます。
UEBAはAIや機械学習、アルゴリズムなど様々な解析アプローチを利用することによって、異常な振る舞いを素早く検知することを可能にしています。
UEBAの学習機能
これまでのセキュリティツールといえば、検知ルールや分析方法など人の手で入力が必要なことも多々ありました。対してUEBAは高い学習機能が備わっており、人の手による入力や分析など煩わしい作業が必要ありません。ユーザの動きとエンティティのログを読み込み、分析を行い、それが日頃の正常な振る舞いであると機械学習により記憶されます。それがベースラインとなりそこから外れるものは異常な振る舞いとして検出されるため、インシデントを素早く察知することが可能になります。
UBAとの違い
UEBAという言葉を調べると、UBAという言葉も出てきます。UBAはUser Behavior Analyticsを略した言葉で、ユーザの行動分析と訳されます。
もともとUBAという分析対象がユーザのみであるツールはあったものの、ネットワーク上で動きがあるエンティティも分析対象にするべきとの考えからEntityも加えられたのがUEBAの成り立ちです。エンティティが加えられたことで、ユーザだけでなくサーバやデバイスの動作異常など、幅広い検知が可能になりました。
SIEMとの違い
SIEMはSecurity Information and Event Managementを略した言葉であり、直訳するとセキュリティ情報とイベント管理となります。
SIEMは複数のシステムやセキュリティツールなどからログやイベント情報を全て収集、一元管理し、分析を行います。ネットワーク内の様々なシステムや機器のログをまとめて管理・分析できるため、幅広いセキュリティ脅威の検知に役立ちます。
ログの分析という点ではUEBAと似ていますが「振る舞い」による分析は含まれていません。UEBAはSIEMに比べ、より行動分析に長けた技術であるという点が特徴です。
UEBAが必要な理由
サイバー攻撃の手法は年々多様化、複雑化し、また日々進化しています。従来の相互関連付けルールに基づいたセキュリティ対策方法では、新しい攻撃が生まれれば対応が追い付かなくなることも考えられます。
UEBAは通常の振る舞い以外の動きを異常として検知することができるため、ルールに組み込まれていない新たなサイバー攻撃を受けた場合でも素早く特定し、対応することが可能です。
新たなセキュリティの脅威が発生するごとに都度ルールを組み込むのでは対応が後手に回ります。そのため未知のインシデントにも即座に反応できるUEBAの必要性が高まっています。
内部不正を防ぐにはUEBAが有効!
セキュリティの脅威は今や外部からの攻撃によるものだけではありません。働き方の多様化にともない、社員がオフィス以外の場所からでも業務可能となった昨今、内部不正にも目を光らせる必要があります。内部不正は外部から攻撃を受けるよりも気付かれにくく、そのため被害やダメージが大きくなりやすい傾向にあります。
UEBAは社員の日頃の業務状況を監視・記憶しているため、通常とは異なる場所へのアクセスや不審なデータのやり取りなどがあれば即座に検知します。インシデントの予兆が検知されれば管理者へアラートが通知され、情報漏洩などのインシデントが起こる前に防ぐことができるため、内部不正対策にも非常に優れたツールです。
UEBA導入のポイント
UEBAが内部不正対策にも有効なツールであると理解できたところで、実際に導入するための注意すべきポイントを解説します。
特性を活かす
UEBAの特性は他のシステムやツールと併用できる点にあります。そのため、UEBAを導入し他のセキュリティツールと置き換えるのではなく、複数のセキュリティツールと併用することで相互サポートする形になり、よりセキュリティ対策を強固なものにすることが可能です。
セキュリティ管理の徹底
セキュリティに関し、新たにルールやベースラインを構築する際には組織内外、両方の脅威に備える必要があります。また実際に脅威があった時にはアラートが送信されるようになっているため、セキュリティチームの中でも限られたメンバーだけが確実にアラートを受け取れるようにしておかなければなりません。
IDの統一
UEBAはユーザやエンティティの振る舞いを監視・分析し、異常を見つけるものです。そのため一人のユーザがシステムごとに別々のIDを持っていればそれは別のユーザとして認識されてしまい、一貫性のある分析ができなくなる可能性があります。IDを統一しなければ分析精度が低下するだけでなく、インシデントの検知もうまく行えなくなることもあり得るため、UEBAを導入する場合はIDを統一させることが必須です。
UEBA導入の課題
UEBAの導入には利点もありますが、いくつか課題がある点も知っておく必要があります。
システム間で同一IDを使用する必要がある
導入のポイントでも述べた通り、UEBAの特性を活かすためにはIDの統一が必須です。しかし既存のセキュリティツールやシステムで複数のIDを使用しているなどと言った場合は導入自体が難しかったりまたは導入したとしてもUEBAの運用までに時間がかかったりすることも考えられます。
運用コストと専門的なスキルが必要
UEBAの魅力は既存のセキュリティツールやシステムと併用することで相互サポートし、セキュリティの強化を図れるところにあります。そのためには導入費用だけでなく、それらをうまく組み合わせて運用できるだけの専門的な知識を持つ人材、またそれにかかるコストも必要になります。
UEBA導入の課題を解決するために
UEBA導入には、セキュリティに関する高度な知見をもち、また分析・解析のノウハウを持つ人材を確保する必要があります。しかしそのような適切な人材を簡単に見つけることは難しく、また人材確保に時間がかかればその間にインシデントが起こり得る可能性も否めません。
これらの課題を解決するためには、セキュリティやログ分析に優れた専門家へまとめてアウトソーシングする手段もあります。これを活用することで導入から運用までの時間短縮、自社のリソースを割く必要もなく、また何よりもこれまでセキュリティ対策に追われていた情シス担当者の負担軽減にもつながります。
まとめ
テレワークが当たり前となり働き方の環境が大きく変わりつつある今、セキュリティ対策も外部からの脅威に備えるだけでなく、ニューノーマル時代に対応できるものでなければなりません。
ユーザやエンティティの振る舞いを監視し、分析することで不正な振る舞いをあぶり出すことができるUEBAを用いれば、インシデントが起こる前に先回りして対応することが可能です。それが内部不正を防ぎ、社員を守ることにもつながります。
自社の内部不正対策が十分でない、UEBAを導入しセキュリティをさらに強化したい、などUEBA導入やセキュリティに関する要望がございましたら、セラクへまずはご相談ください。
あわせて読みたい記事
24時間365日対応可能!
クラウド導入・運用は
セラクにおまかせください
その他の記事
