ユーザー行動分析(UBA)

ユーザー行動分析(UBA)とは

ユーザー行動分析(UBA)とは

ユーザー行動分析(UBA)は、ユーザーエンティティ行動分析(UEBA)とも呼ばれていますが、ユーザーの認証情報、デバイスとその場所などを結び付けてユーザーの振る舞いを検知するという意味で同じ機能のことです。ユーザーが日々生成するネットワークイベントのデータを収集、分析を行うことにより、セキュリティ侵害が発生した際に使用される認証情報や、横移動、その他の悪意のある行動を検知することが可能になります。

ガートナーマーケットガイドでは、ユーザーの認証情報だけでなく、広範囲に外部からの脅威が増加しているため、ユーザー行動分析に「エンティティ」という定義を追加しました。外部からの脅威の対象には、ルーター、サーバー、アプリケーション、その他のネットワークデバイスなど、さまざまなエンティティがあります。つまり、行動分析の範囲は、従来のユーザー行動分析から一歩進んで、システムやユーザーアカウントに対する行動に焦点を置いたものに変化してきています。

今日のネットワークでは、とりわけユーザーが、IP、資産、クラウドサービス、モバイルデバイスの間をシームレスに移動する場合に、非常に多くの情報を収集しています。UBAでは、静的な脅威インジケータではなく、ユーザー行動に焦点を合わせています。つまり、脅威インテリジェンスにマッピングされていない攻撃を検出し、攻撃の初期段階で悪意のある動作のアラートを出すことが可能です。

ネットワークがより複雑になるにつれ、企業のネットワークにうまく侵入し、内部の従業員になりすまして外部の防御を回避することが、これまでになく簡単になっています。攻撃者がネットワークに侵入し、検知されないままでいることができるとなると、機密データが繰り返し盗まれて金銭的な損害を引き起こされる可能性があります。ユーザー行動分析は、ユーザーの行動のパターンを明らかにすることでステルスな攻撃者の活動を明らかにし、「通常の」行動と、侵入者の侵害、内部の脅威、またはネットワーク上の危険な行動の証拠を特定します。

ユーザー行動分析の仕組み

ユーザー行動分析は、過失であるか悪意があるかを問わず、引き起こされている潜在的な脅威が、従業員によるものなのか、従業員を装った部外者によるものなのかを容易に判断可能とします。UBAは、IPアドレスやアセットではなく、ネットワーク上の振る舞いを特定のユーザーに紐づけます。つまり、ユーザーが通常とは異なる行動を始めた場合、従来の境界監視ツールによってフラグが立てられていなくても、その動作をすばやく特定し、異常かどうか判断して、必要に応じて調査を開始できます。

例として、窃取された資格情報は、侵入テスターや実際の犯罪者がよく使う攻撃ベクトルです。犯罪者がフィッシング攻撃、マルウェア、キーロギング、さらにはサードパーティのデータ侵害によって資格情報を取得する場合でも、必要となるのは、一対の正しいユーザー名とパスワードの組み合わせだけです。ログインさえできれば、検出されないままネットワーク内をひっそりと移動できます。ただし、攻撃者が侵入すると、通常、アセット間を横方向に移動するなど、正常なユーザーとは異なる行動を開始します。侵入者は、襲撃の標的と引き出すデータとして、より興味深いものを探し求めて、一歩一歩、しばしば「攻撃チェーン」または「キルチェーン」と呼ばれる移動をしていきます。

どのようなユーザーの行動がネットワーク上で正常で、何がそうでないかをベースライン化する機能は重要です。ユーザー行動分析は、傾向を特定し、外れ値を簡単に見つけるためのデータを提供するので、潜在的な脅威をより簡単かつ迅速に特定して調査し、攻撃チェーンを断ち切ることができます。

ユーザー行動分析の概要

傾向を見つけて紐づけを行うには、まず主要な行動データを1か所に集め、後で分析ツールで解析できるようにする必要があります。従来、ユーザー動作分析は、既存のセキュリティ情報イベント管理(SIEM)の導入に付加する追加レイヤーでした。

ユーザー行動分析は、攻撃を防止し、脅威を調査するために多層化された統合的なITと情報セキュリティ戦略の一環です。侵害を早期に検出し、リスクを軽減し、攻撃者による組織のデータの窃取を阻止するための非常に強力なツールになり得ます。

まとめ

ユーザー行動分析は、組織の内部に生じる有害性から安全を確保するために実装が不可欠です。UBAは近年、モノのインターネット(IoT)の拡大と、ネットワークの脆弱性が悪用される可能性があるデバイスの増加に伴い、飛躍的に成長しています。疑わしい内部関係者の脅威を見つけようとしている場合でも、特権アカウントを監視している場合でも、UBAはITインフラストラクチャに対する侵入攻撃への新たな対策の一環となるのです。