UEBA(User and Entity Behavior Analytics)は、ユーザーとエンティティの行動分析を意味します。UEBA は、以前はユーザー行動分析として知られており、潜在的なサイバーセキュリティのリスクや脅威を特定するために、ユーザーの行動異常を追跡するプロセスです。このアイデアは、ユーザーの行動に関する大規模なデータセットを持ち、そのセット内のデータの標準からの変動を使用して、サイバー攻撃を未然に防いだり、被害が大きくなる前に食い止めたりすることができるアラートや特定のアクションをトリガーすることを目的としています。
UEBA の仕組み
UEBA は、組織のユーザーやエンティティの動作を追跡し、通常の動作と異常な動作を区別します。サイバーセキュリティにおいては、ユーザーまたは事業体は、IT システム、ビジネス・プロセス、組織(政府を含む)のいずれでも構いません。
UEBA は、これらのユーザーやエンティティのデータを常に確認・分析し、特定の活動や行動が異常であるかどうかを判断します。したがって、サイバー攻撃につながる可能性があるため、危険となる可能性があります。
例えば、ハッカーが従業員のパスワードを盗み、システムにログインするなどです。一旦そのシステムの内部に入ると、ハッカーは、ユーザーのこれまでの行動とはまったく異なる方法で行動し、サイバー脅威アラートを引き起こす可能性があります。
UEBA は、機械学習、統計分析、高度な分析を組み合わせることで、この高度な異常追跡を実現します。通常、UEBA システムは、ユーザーの動作のベースラインを確立し、このベースラインとアクティビティを比較します。
UEBA と SIEM:違いは?
SIEM(Security Information and Event Management)は、ダッシュボードを使用して、全てのセキュリティ関連情報とイベントを包括的に表示し、必要に応じてアラートをトリガーします。SIEM プラットフォームは、さまざまなセキュリティ・ツールや IT システムからデータを収集・集約し、そのデータを分析します。
一方、UEBA システムは機械学習を適用してユーザーの行動を分析するため、この情報を使用して潜在的なサイバー脅威を予測し、リアルタイムのアラートを送信できます。SIEM は元々のプロセスですが、企業はすぐに、UEBA 戦略を SIEM に組み込むことで、SIEM がリアルタイムで脅威を監視し、迅速に対応する能力を大幅に向上させることに気づきました。その理由は、UEBA がユーザーの行動を追跡・分析するのに対し、SIEM は追跡・分析しないからです。
UBA と UEBA:違いは?
ユーザー行動分析(UBA)と UEBA の違いを理解することは、なぜ「E」が追加されたのか、誰が追加したのかを理解することにかかっています。
「UEBA」の「E」は「Entity」の略で、2017 年に出版されたガートナー・マーケット・ガイドのものです。UEBA が UBA ではなく使用されるのはこれが初めてでした。それまでは、UBA 技術の主な焦点は、データ窃盗と詐欺でした。しかし、企業はすぐに、サイバー脅威が、管理対象/非管理対象のエンドポイント、クラウドとモバイルアプリケーション、ネットワーク、さまざまな外部脅威など、単なるユーザーを超えた場所から発生し始めていることに気づきました。ガートナーは、サイバーリスクの他の原因を「エンティティ」と呼んでいます。
つまり、UBA と UEBA は同じではありませんが、非常に密接に関連しています。UEBA は UBA の最新版です。
UEBA と SOAR:どちらが優れているか?
セキュリティ・オーケストレーション、自動化、応答(SOAR:Security Orchestration, Automation, and Response )ツールにより、さまざまなシステムやプラットフォームからデータを収集し、一元化することで、セキュリティ脅威に迅速に対応できます。このように、SOAR ツールは、サイバーセキュリティ関連のデータや活動全てにおいて、信頼できる唯一の情報源となる手段として認識されています。SOAR システムは、低レベルのセキュリティ脅威への対応を自動化するためにも使用できます。
SOAR は自動化、データ収集、集約を重視していますが、UEBA はユーザーとエンティティの動作の分析に焦点を当てています。SOAR は高速化できますが、UEBA は SOAR では実現できない異常を見つけることができます。そのため、どちらのツールや方法が優れているということはありません。むしろ、それらは補完的であり、異なる利点があり、おそらく互いに組み合わせて使用されるのが最善です。
UEBA を使用する 3 つの理由
UEBA は、潜在的なサイバー脅威を監視し、制限するための強力なツールです。UEBA を使用する主な理由は、次の 3 つです。
- 攻撃対象領域の削減
UEBA は、セキュリティ・チームにシステムの抜け穴や弱点を知らせ、攻撃対象領域全体を削減することでサイバー攻撃の可能性を低減します。
- 運用効率の向上
UEBA は、自動化と機械学習を使用して脅威を特定し、検証することで、セキュリティ・チームの手作業を軽減することができます。これにより、セキュリティ専門家は、アラートを追跡するのではなく、実際の脅威に集中する時間が増えます。
- スーパーパワー
「スーパーパワー」は言い過ぎかもしれません。しかし、UEBA は、潜在的なデータ流出を事前に検知する能力、乗っ取られたアカウントを特定する能力、特権の悪用を防止する能力など、サイバーセキュリティに関連する特定の特別な力を組織にもたらします。
このような理由から、UEBA は、特に SOAR などの他の戦略と組み合わせて、サイバー攻撃を積極的に特定して防止し、組織のサイバー脅威へのエクスポージャーを削減する非常に効果的な方法です。
