エンタープライズセキュリティ向けのユーザーとエンティティの行動分析(UEBA)

致命的なインサイダー攻撃を防ぐために何をすべきか、考えたことはあるでしょうか。侵入防止システムやウイルス対策ソフトウェアを導入しても、このような脅威がなくなることはありません。しかも、そのコストは過去2年間で44%増加しています。

2023年には、内部関係者によるデータの不正流出が10億件近く発生しました。このような逆境の中で、最新のエンタープライズセキュリティソリューションとして登場したのが、ユーザーとエンティティの行動分析(UEBA)です。UEBAは、差し迫った侵害の兆候を示す異常なパターンを常に警告します。

UEBAの仕組みを理解するために、UEBAが組織にどのような効果をもたらすのかを、深く掘り下げてみましょう。

現在のサイバーセキュリティアプローチでは不十分な理由

組織の74%が、自社のネットワーク内から発生するセキュリティリスク(いわゆる内部脅威)に直面しています。こうした状況は、組織がシグネチャベースの検出を主要な脅威検出方法として利用していることが一因です。この検出方法は、侵入防止システムとウイルス対策ソフトウェアが攻撃の特徴を既知のシグネチャと照合するというものです。しかし、攻撃者は次のような手法を用いることで、このセキュリティ対策を回避できます。

• サービス拒否(DoS)
• フラグメンテーション
• 難読化
• アプリケーションの乗っ取り

一部のIPS/IDS (侵入検知システム)製品は、現在のトラフィックとベースライントラフィックを比較することで、このような攻撃に対抗しています。しかし、この種の製品には欠点があり、侵入検知機能のカスタマイズ性は高いものの、高価で多くのリソースを必要とします。

したがって、たとえこのような対策を講じても、既存のIPS/IDSシステムだけですべての攻撃を検出するのは困難です。また、誤検知のアラートが増加することにもつながり、ROI (投資利益率)の大幅な向上も実現しにくくなります。

UEBAの定義

UEBAは、MLアルゴリズムと行動分析を活用して、ユーザーとエンティティに関する包括的なインサイトを提供する重要なリスク管理ソリューションです。これらのインサイトを詳しく調べることで、セキュリティチームは異常を特定し、潜在的な影響を軽減するための対策を講じることができます。

UEBAがユーザー行動分析(UBA)と異なる点は、対象範囲が広いことです。UBAがユーザー行動の分析のみに焦点を当てているのに対し、UEBAはネットワーク内のユーザーの行動だけでなく、次のようなエンティティの動作も対象としています。

• ネットワークデバイス
• ルーター
• データベース

たとえば、ある企業のネットワークで、通常なら1時間あたり1,000件記録されるデータ要求が、ある日突然1時間あたり10,000件に急増したとします。すると、UEBAはこの異常を察知して、管理者に速やかに通知します。

UEBAと他のセキュリティアプローチの比較

他のセキュリティアプローチと比較するにあたり、次の2つの主要な手法を取り上げます。

• シグネチャベースの検出
• 異常ベースの脅威検出

それぞれの仕組みは次のとおりです。

シグネチャベースの検出では、事前に定義されたルールを適用して既知の脅威を特定し、監視対象の環境内で認識されたシグネチャに応じたアラートをトリガーします。

異常ベースの検出では、悪質なアクティビティが通常と異なるパターンを持つことを利用し、一般的な行動のモデルを構築することで逸脱を特定します。ただしこのアプローチは、未知の脅威を検出できる一方で、誤検知率が高いという問題があります。

この2つのオプションに代わり、UEBAはセキュリティ関連の異常や脅威をリアルタイムで検出できるテクノロジーとして、優れた能力を発揮します。UEBAは、行動パターンを視覚化し、そのパターンに応じてリスクをランク付けします。これにより、ネットワーク管理者は異常な行動を特定し、その結果に基づいて迅速に対応することができます。

UEBAの仕組み

ここでは、UEBAの機能をステップごとに説明します。各ステップは包括的なセキュリティアプローチの中で重要な役割を果たしています。

1)データの取り込み

最初のフェーズでは、ファイアウォールログ、Webプロキシのデータ、DNSレコード、VPNのアクティビティといったソースを体系的に監視し、データを収集します。このデータがUEBAシステムに取り込まれ、さらに分析されます。

2)要素の相関付け

次に、収集したデータを統合して、システム内のさまざまな要素間の関係を特定します。この作業は、ユーザーの行動、ホストのアクティビティ、およびデバイスの操作の間にどのような関連性やパターンがあるのかを明確化するのに役立ちます。

3)分析

高度な機械学習アルゴリズムで、統合されたデータを選別し、異常、パターン、および潜在的な脅威を特定します。

4)スコア付け

継続的なシステム監視プロセスを通じて、過去の事例を適用して学習したり、熟練したアナリストから提供されたフィードバックを統合したりします。この継続的なスコア付けの仕組みにより、システムが新たな脅威に迅速かつ効果的に対応できるよう強化されます。

5)適切な対策の実施

UEBAシステムは、エンティティをあらゆる角度から可視化し、ユーザー、ホスト、デバイスの侵害を見つけるための視点を提供します。全体を可視化することで、悪意ある内部者の特定が可能になり、パートナーネットワークの監視が容易になります。このプロセスを通じて、セキュリティチームはアラートに優先順位を付けて適切な対策を講じ、セキュリティ態勢を強化できます。

エンタープライズセキュリティにUEBAを使用すべき理由

UEBAの仕組みを理解できても、なぜこのテクノロジーを採用すべきか疑問に思っている方がいるかもしれません。そこで、採用すべき理由を説明しましょう。

MTTR (平均対応時間)の短縮

UEBAを採用すると、セキュリティチームは時間的余裕を持って、内部脅威に効果的に対応できるようになります。リスクの高い行動を迅速に特定し、攻撃への対応に必要な時間を短縮することで、被害が拡大する前に潜在的な損害を軽減します。

セキュリティリスクの最小化

UEBAは、異常を早期に特定することで、データを保護し、組織のセキュリティインフラの完全性を確保します。また、データ損失を防止し、過去の脅威によってもたらされる可能性がある損害を軽減します。

脅威検出の自動化

AIの時代においては特に、人間の専門知識だけに頼っていては成長が妨げられます。しかし、UEBAを採用して機械学習と行動分析を活用すれば、このギャップが解消されます。UEBAを利用することで、組織はアナリストのサイバーセキュリティに関する専門知識の不足を補うことができます。

誤検知のアラートの削減

誤検知のアラートは、本物のセキュリティ侵害から注意が逸れ、対応が遅れる原因となります。しかし、UEBAを利用すれば、管理者は実際に起きている異常なアクティビティに集中して取り組めます。誤報を排除することで、セキュリティチームの業務効率が改善され、必要な対応に集中できるようになります。

このようなアプローチをエンタープライズセキュリティで採用すれば、最終的にセキュリティ態勢全体の強化を実現できます。

UEBAの有効性の測定

2021年、西安建築科技大学の学生らが、指定したテスト期間中にUEBAシステムで530件のイベントを管理する実験を行いました。

事前定義された設定基準を適用することで、システムはピアユースケースに関連する異常を検出し、これらの異常を各ユーザーの履歴プロファイルと比較しました。全イベントのうち103件で、それぞれ特定の信頼性スコアに関連付けられたアラートがシステム管理者に送信されました。

受信したアラートをローカル管理者が詳しく分析したところ、78件のイベントのうち、誤報は1件のみであったことが明らかになりました。この誤検知率は2.13%と、SIEMなどの他のシステムと比べてかなり低いものでした。

UEBAの欠点について

先のUEBAの実験では、非常に素晴らしい検出率と信頼性スコアが実証されましたが、次のような問題も依然として残っています。

• システムでのルール変更が難しく、多大な時間がかかる。
• このテクノロジーを利用しても、アラートの精度を確認して意思決定を下すには、人間の専門家が必要になる。
• クラウド環境との統合により、システムが多様なデータソースに適応しにくくなるため、脅威の検出にギャップが生じ、潜在的なセキュリティリスクの全体像を把握できなくなる。
• ユーザーからプライバシーの保護を求められ、ユーザー行動の監視が妨げられる場合がある。

UEBAによるシステムの保護

攻撃手法の高度化により、従来のセキュリティ対策では十分に対応できないケースが多い中、UEBAは有望なソリューションとなる可能性があります。UEBAは、組織のネットワーク内のユーザーとエンティティの行動における微妙な変化を詳細に分析して、異常なアクティビティを早期に警告します。このように潜在的な脅威に迅速に対応することで、システムの安全性を維持できます。

このブログはこちらの英語ブログの翻訳です。