ユーザーおよびエンティティ行動分析(UEBA)の完全ガイド
既知の攻撃シグネチャに基づいて構築されたセキュリティツールは、過去に見たことのあるものしか検出できません。より困難な検出課題は、正当なアクセスから生じる脅威に関わります。例えば、侵害されたアカウントがわずかにパターンから外れた動作をする、従業員が退職前に密かにデータを持ち出す、サービスアカウントがアクセスする理由のないリソースにアクセスするといったケースです。ユーザーおよびエンティティ行動分析(UEBA)は、まさにこれらの脅威を明らかにするために設計されました。
UEBAは、環境内のすべてのユーザーとエンティティについて通常の行動ベースラインを確立し、そのベースラインからの統計的に有意な逸脱をフラグ付けします。シグネチャベースのツールが「これは既知の不正パターンと一致するか?」と問うのに対し、UEBAは「この行動は以前に観測されたものと一貫しているか?」と問います。この検出ロジックの転換こそが、既知の侵害指標をトリガーしない攻撃に対してUEBAを効果的にする理由です。
UEBAとは?
UEBAは、機械学習と統計モデリングを使用して組織内のユーザーとエンティティの行動ベースラインプロファイルを構築し、脅威を示す可能性のある異常を特定するセキュリティ分析アプローチです。この用語は 2015年にガートナーによって造られました ガートナーが以前のユーザー行動分析(UBA)カテゴリをエンティティ監視を含むように拡張した際に、ユーザーがデバイス、サービスアカウント、アプリケーションから独立して動作するわけではないことを認識したためです。
UEBAは、その核心において、「この人物、デバイス、またはアカウントは、確立されたパターンから外れた行動をしているか?」という問いに答えます。午前3時の新しい地域からのログイン、サービスアカウントによる機密データベースへの突然のクエリ、従業員が1回のセッションで通常の10倍のファイルをダウンロードする、といった行動です。これらのそれぞれは、完全に無害である可能性もあれば、重大な侵害の最初の目に見える兆候である可能性もあります。UEBAシステムは、行動ベースラインを使用して、ルールベースのアプローチよりも信頼性の高い方法でその区別を行います。
UEBAの仕組み:ベースライン、スコアリング、エンティティプロファイリング
UEBAシステムは学習フェーズから始まります。数日から数週間にわたり、プラットフォームはIDプロバイダー、エンドポイントテレメトリ、ネットワークフロー、クラウドプラットフォーム、SaaSアプリケーションなど、環境全体からログデータを取り込み、各ユーザーとエンティティの通常の行動の統計モデルを構築します。
ベースラインが確立されると、システムはそれらのモデルに対して新しいイベントを継続的にスコアリングします。確立されたパターンから著しく逸脱するイベントは、異常スコアを生成します。ほとんどのUEBAプラットフォームは、個々の異常スコアを各ユーザーまたはエンティティの複合リスクスコアに集約し、観測された行動の重大度と希少性によって重み付けを行います。
そのスコアリングメカニズムの洗練度は、実装によって大きく異なります。より単純なアプローチでは、「ユーザーがY分間にX個以上のファイルをダウンロードした場合にフラグを立てる」といったしきい値ルールを使用します。より高度なシステムは、行動間の関係、時間帯パターン、ピアグループ比較、および過去のアクセス傾向をモデル化し、真に疑わしい活動をノイズから区別します。
エンティティプロファイリングは、個々のイベントスコアリングを超えたものです。時間の経過とともに、UEBAシステムは各エンティティの豊富な行動フィンガープリントを構築し、アクセスパターン、活動時間、一般的なリソース使用量、ピアグループの規範を追跡します。この蓄積されたコンテキストが、行動検出を意味のあるものにします。単一の異常イベントが全体像を語ることはめったにありませんが、微妙な逸脱のパターンはしばしば全体像を示します。
UEBAが監視するもの:ユーザーだけにとどまらない
UEBAにおける「エンティティ」は、脅威が単独でユーザーに関わることはめったにないという認識を反映しています。現代のUEBAシステムは、人間のユーザーアカウントを超えて、いくつかのエンティティタイプを監視します。
サービスアカウントは、重要でありながら監視が不十分なことが多いカテゴリです。これらのアカウントは、多くの場合、高い特権を持ち、継続的に動作するため、ユーザーに焦点を当てた検出ルールをトリガーすることなく横方向に移動したい攻撃者にとって主要な標的となります。デバイス(エンドポイント、サーバー、ワークステーション)も、侵害されると逸脱する特徴的な行動パターンを示します。アプリケーション、特にクラウドおよびSaaS環境では、悪用を示す異常なアクセスパターンを示すことがあります。一部のプラットフォームは、サブネットやIP範囲を含むネットワークエンティティにもプロファイリングを拡張し、ユーザーアカウントを直接経由しない横方向の移動を捕捉します。
UEBAシステムがプロファイリングするエンティティタイプが多いほど、その検出範囲は広くなります。新しい地域からのユーザーログインは、単独では弱いシグナルですが、その同じユーザーがその地域からログインしている間に、めったに触れないサービスアカウントが突然特権コマンドを実行した場合、それははるかに強力な複合シグナルとなります。複数のエンティティタイプにわたる行動異常の相関こそが、UEBAが最高の検出価値を発揮する場所です。
UEBAの主なユースケース
UEBAは、行動分析がシグネチャベースのツールでは見逃す検出範囲を提供する4つの脅威シナリオで最も一般的に導入されています。
内部脅威は、最も直接的なユースケースです。悪意のある従業員、過失のある従業員、または外部の人間によって乗っ取られた正当なアカウントからの脅威であるかどうかにかかわらず、内部脅威は、行為者が正当な認証情報とアクセス権を使用するため、検出が特に困難です。UEBAは、異常なデータアクセス量、時間外のシステム使用、通常の範囲外のリソースへのアクセスなど、内部活動に伴う行動異常を検出します。
侵害された認証情報は、2番目の主要なユースケースです。 Verizonデータ漏洩/侵害調査報告書によると、盗まれた認証情報は、データ侵害の主要な要因の一つとして常に挙げられています。攻撃者が正当なアカウントを乗っ取ると、通常、アカウントの所有者とは異なる行動をとり、異なる時間に、異なる場所から、異なるセッション行動で異なるリソースにアクセスします。UEBAは、確立されたパターンからのこの逸脱を捕捉します。
横方向の移動は3番目のシナリオです。初期侵害後、攻撃者は特権を昇格させ、標的に到達するために環境内を移動します。この移動は、これまでアクセスしたことのないリソースへのアカウントアクセス、異常な認証チェーン、通常のパターン外のサービス間通信など、行動上の痕跡を生み出します。 MITRE ATT&CK は、このカテゴリの多数のテクニックを文書化しており、これには有効なアカウント(T1078)、パス・ザ・ハッシュ(T1550.002)、Kerberoasting(T1558.003)などが含まれ、これらすべてがUEBAが表面化できる行動シグネチャを生成します。
データ持ち出しは4番目です。大量ダウンロード、異常なメール転送、または大規模なクラウド同期活動は、通常のベースラインに対して明確に際立つ行動シグネチャを生成します。データ持ち出しが正当なツールやプロトコルを使用する場合でも、データ転送の量と宛先は通常、異常スコアリングをトリガーするのに十分なほど逸脱します。
UEBAが従来のSIEMとどう異なるか
従来の セキュリティ情報イベント管理(SIEM) システムはログとイベントを収集し、相関ルールを適用し、それらのルールがトリガーされたときにアラートを生成します。その基本的なモデルはルールベースであり、「AとBが特定の時間枠内で同時に発生した場合、Cについてアラートを出す」というものです。
UEBAは、ルールロジックではなく行動コンテキストに基づいて動作します。SIEMは、ルールによってフラグが立てられた地域からのログインに対してアラートを出すかもしれません。UEBAは、その地域自体がブロックリストにない場合でも、その特定のユーザーの確立されたログインパターンから逸脱しているため、同じイベントにフラグを立てます。この違いは、意味のある異なるアラート品質を生み出します。ルールベースのシステムは、ルールが個々のコンテキストを考慮しないため、大規模に誤検知を生成します。行動システムは、その特定のエンティティにとって何が正常であるかに対して各イベントをスコアリングするため、数は少ないものの、より信頼性の高いアラートを表面化します。
ほとんどの組織ではSIEMとUEBAを併用しており、UEBAはSIEMアラートに豊富な行動コンテキストを提供するか、ルールが見逃すものを捕捉する独立した検出レイヤーとして機能します。
UEBAとUBAの違い:何が変わり、なぜそれが重要なのか
ユーザー行動分析(UBA)は、このテクノロジーの初期の形態であり、人間のユーザーアカウントのみに焦点を当てていました。ガートナーが2015年に「エンティティ」に拡張したのは、最も破壊的な攻撃の一部が人間のユーザーアカウントではなく、サービスアカウント、デバイス、アプリケーションを介して環境を横断するという、実際のカバレッジのギャップを反映したものでした。
多くの攻撃がサービスアカウントの侵害を足がかりとして利用し、UBAのみのシステムではそれらを完全に見逃してしまうため、この区別は実務上重要です。
現代のSOCにおけるUEBAの位置づけ
UEBAは、独立したセキュリティプログラムではなく、より広範なSOCアーキテクチャ内の検出およびエンリッチメントレイヤーとして機能します。ほとんどの導入では、既存のログインフラストラクチャと統合され、行動リスクスコアと異常アラートを検出ワークフローに供給します。
UEBAは2つの段階で価値を付加します。検出段階では、ルールベースのツールが見逃す行動異常を表面化させます。調査段階では、アナリストにエンティティ行動のタイムラインビュー、履歴ベースライン、およびトリアージを加速するリスクスコアリングを提供します。SIEMがアラートを生成した際、関連するアカウントが過去数日間で異常な行動をとっていたかどうかを示すUEBAのコンテキストは、5分間のトリアージと1時間の調査の差となる可能性があります。
Exaforceの行動モデルは、その Exabot Detect の機能セットのネイティブコンポーネントとして動作します。これは、アナリストが別のシステムに切り替える必要なく、行動異常が調査ワークフロー内で直接表面化することを意味します。この統合により、スタンドアロンのUEBA製品が通常生み出すワークフローの摩擦点が解消されます。
UEBAを評価する際に考慮すべき点
UEBA市場には、スタンドアロン製品、SIEM統合モジュール、そして AIネイティブプラットフォーム があり、これらは行動分析がコア検出エンジンに組み込まれています。オプションを評価する際には、いくつかの要因が常に強力な実装と弱い実装を区別します。
データ取り込みの広さが検出範囲を決定します。IDプロバイダーのログのみを取り込むシステムは、エンドポイントやクラウドプラットフォームのシグナルを見逃します。ID、エンドポイント、ネットワーク、クラウドIaaS、SaaSアプリケーション全体にわたるカバレッジを探してください。データソースが多いほど、行動モデルはより豊富になります。
ベースラインの精度は、異常スコアリングと同じくらい重要です。不完全または一貫性のない収集データに基づいて構築されたモデルは、誤検知を生成するノイズの多いベースラインを生み出します。ベンダーにデータ収集アーキテクチャとテレメトリのギャップへの対処方法について尋ねてください。
アラートの品質は、実用的な出力尺度です。異常の量が多すぎても、すでにアラート過負荷を管理しているSOCには役立ちません。システムが個々のシグナルを実行可能なリスクスコアにどのように集約するか、そしてそれらのスコアが環境内の真の脅威と相関しているかどうかを評価してください。
UEBAがセキュリティプログラムを強化する方法
UEBAは、既知の攻撃パターンではなく、正当な行動から生じる脅威に対する検出問題に対処します。ユーザー、デバイス、サービスアカウント、およびアプリケーションの行動ベースラインを構築することで、UEBAはセキュリティチームに、通常の活動と重大な侵害に先行する微妙なパターンを区別するために必要なコンテキストを提供します。
このテクノロジーは、行動分析が独立した製品として機能するのではなく、より広範な検出および調査ワークフローに統合されている場合に最も効果を発揮します。データ取り込みの広さ、ベースラインの精度、アラートの品質、および統合の深さに基づいてソリューションを評価することで、セキュリティリーダーはノイズを増やすのではなく、ノイズを減らすシステムを選択するための実用的なフレームワークを得ることができます。
貴社のチームがSOC向けの行動検出機能を評価している場合は、 デモをリクエストしてください Exaforceの行動モデルが、ユーザー、デバイス、サービスアカウント全体にわたる異常な活動がエスカレートする前にどのように表面化するかをご覧ください。
