ユーザーおよびエンティティ行動分析(UEBA)の完全ガイド
既知の攻撃シグネチャに基づくセキュリティツールでは、過去に確認された脅威しか検出できません。より困難な検出課題となるのは、正当なアクセスを悪用する脅威です。たとえば、侵害されたアカウントが通常とはわずかに異なる動作を示すケース、従業員が退職前に密かにデータを持ち出すケース、サービスアカウントが本来アクセスする必要のないリソースへアクセスするケースなどが挙げられます。ユーザーおよびエンティティ行動分析(UEBA)は、まさにこうした脅威を可視化するために設計されています。
UEBAは、環境内のすべてのユーザーおよびエンティティに対して通常時の行動ベースラインを確立し、そのベースラインから統計的に有意な逸脱を検出します。シグネチャベースのツールが「これは既知の不正パターンに一致するか」を判断するのに対し、UEBAは「この行動はこれまでに観測された挙動と整合しているか」を判断します。この検出ロジックの違いにより、UEBAは既知の侵害指標(IOC)を伴わない攻撃にも効果的に対応できます。
UEBAとは?
UEBAは、機械学習と統計モデリングを活用して、組織内のユーザーおよびエンティティの行動ベースラインプロファイルを構築し、脅威を示す可能性のある異常を検出するセキュリティ分析アプローチです。この用語は、Gartnerが2015年に従来のユーザー行動分析(UBA)カテゴリをエンティティ監視まで拡張した際に生まれました。これは、ユーザーがデバイス、サービスアカウント、アプリケーションと切り離されて動作するわけではないという考え方を反映したものです。
UEBAの本質は、「このユーザー、デバイス、またはアカウントは、通常の行動パターンから逸脱した動作をしているか」を判断することにあります。たとえば、午前3時にこれまで利用実績のない地域からログインするケース、サービスアカウントが突然機密データベースへクエリを実行するケース、従業員が1回のセッションで通常の10倍にあたるファイルをダウンロードするケースなどです。これらはいずれも正当な行動である可能性がありますが、重大な侵害の最初の兆候である可能性もあります。UEBAシステムは、行動ベースラインを用いることで、ルールベースのアプローチよりも高い精度でその違いを判断します。
UEBAの仕組み:ベースライン、スコアリング、エンティティプロファイリング
UEBAシステムは、学習フェーズから始まります。数日から数週間にわたり、プラットフォームはIDプロバイダー、エンドポイントテレメトリ、ネットワークフロー、クラウドプラットフォーム、SaaSアプリケーションなど、環境全体のログデータを取り込み、各ユーザーおよびエンティティの通常行動に関する統計モデルを構築します。
ベースラインが確立されると、システムは新しいイベントをそれらのモデルと継続的に照合し、スコアリングします。確立されたパターンから大きく逸脱するイベントには、異常スコアが付与されます。その後、ほとんどのUEBAプラットフォームでは、個々の異常スコアを各ユーザーまたはエンティティの複合リスクスコアに集約し、観測された行動の重大度と希少性に応じて重み付けします。
このスコアリングメカニズムの高度さは、実装によって大きく異なります。より単純なアプローチでは、「ユーザーがY分間にX件を超えるファイルをダウンロードした場合にフラグを立てる」といったしきい値ルールを使用します。より高度なシステムでは、行動間の関係、時間帯ごとのパターン、ピアグループとの比較、過去のアクセス傾向をモデル化し、真に疑わしいアクティビティをノイズと区別します。
エンティティプロファイリングは、個々のイベントスコアリングにとどまりません。UEBAシステムは時間の経過とともに、各エンティティについて詳細な行動フィンガープリントを構築し、アクセスパターン、活動時間帯、一般的なリソース使用状況、ピアグループの標準的な行動を追跡します。この蓄積されたコンテキストによって、行動ベースの検出が意味を持つようになります。単一の異常イベントだけで全体像が明らかになることはほとんどありませんが、わずかな逸脱がパターンとして現れることで、多くの場合、全体像が見えてきます。
UEBAが監視するもの:ユーザーだけではない
UEBAにおける「エンティティ」は、脅威がユーザー単体で発生することはまれであるという認識を反映しています。最新のUEBAシステムは、人間のユーザーアカウントに加えて、複数のエンティティタイプを監視します。
サービスアカウントは、重要でありながら監視が不十分になりがちなカテゴリです。これらのアカウントは多くの場合、高い権限を持ち、継続的に動作しているため、ユーザー中心の検出ルールをトリガーせずにラテラルムーブメントを行いたい攻撃者にとって、主要な標的となります。デバイス(エンドポイント、サーバー、ワークステーション)も、侵害されると通常とは異なる特徴的な行動パターンを示します。特にクラウド環境やSaaS環境におけるアプリケーションでは、不正使用を示す異常なアクセスパターンが現れることがあります。一部のプラットフォームでは、サブネットやIP範囲などのネットワークエンティティにもプロファイリングを拡張し、ユーザーアカウントを直接経由しないラテラルムーブメントを検出します。
UEBAシステムがプロファイリングするエンティティタイプが多いほど、検出範囲はより豊かになります。新しい地域からのユーザーログインは、単独では弱いシグナルです。しかし、同じユーザーがその地域からログインしている最中に、普段ほとんど使用しないサービスアカウントが突然特権コマンドを実行した場合、それらを組み合わせることで、はるかに強力なシグナルとなります。複数のエンティティタイプにまたがる行動異常を相関付けることで、UEBAは最も高い検出価値を発揮します。
UEBAの主なユースケース
UEBAは、シグネチャベースのツールでは検知できない領域を行動分析で補完できる、4つの脅威シナリオで最も一般的に導入されています。
内部脅威は、最も直接的なユースケースです。脅威が悪意のある従業員によるものか、過失のある従業員によるものか、外部攻撃者に侵害された正規アカウントによるものかにかかわらず、内部脅威は特に検知が困難です。これは、アクターが正規の認証情報とアクセス権を使用するためです。UEBAは、通常とは異なるデータアクセス量、業務時間外のシステム利用、通常の範囲外にあるリソースへのアクセスなど、内部脅威に伴う行動の異常を検知します。
侵害された認証情報は、2つ目の主要なユースケースです。Verizon「データ漏洩/侵害調査報告書(DBIR)」によると、盗まれた認証情報は、データ侵害の主要因の一つとして継続的に挙げられています。攻撃者が正規アカウントを乗っ取ると、通常、そのアカウントの所有者とは異なる行動をとります。たとえば、異なる時間帯に、異なる場所から、異なるセッション挙動で、異なるリソースにアクセスします。UEBAは、通常の行動パターンからのこうした逸脱を検知します。
ラテラルムーブメントは、3つ目のシナリオです。初期侵害後、攻撃者は権限を昇格し、標的に到達するために環境内を移動します。この移動により、これまでアクセスしたことのないリソースへのアカウントアクセス、通常とは異なる認証フロー、通常のパターンから外れたサービス間通信などの行動上の痕跡が生じます。MITRE ATT&CKでは、このカテゴリに含まれる多数のテクニックが文書化されており、Valid Accounts(T1078)、Pass the Hash(T1550.002)、Kerberoasting(T1558.003)などが含まれます。これらはいずれも、UEBAで検知できる行動上の特徴を生み出します。
データ窃取は、4つ目のユースケースです。大量ダウンロード、不審なメール転送、大量のクラウド同期アクティビティは、通常のベースラインと比べて明確に際立つ行動上の特徴を生み出します。データ窃取に正規のツールやプロトコルが使用されている場合でも、データ転送の量や宛先は通常、異常としてスコアリングされるのに十分なほど通常から逸脱します。
UEBAは従来のSIEMとどう異なるか
従来のSecurity Information and Event Management(SIEM)システムは、ログとイベントを収集し、相関ルールを適用して、それらのルールがトリガーされたときにアラートを生成します。基本的なモデルはルールベースであり、「AとBが一定の時間枠内で同時に発生した場合、Cについてアラートを出す」というものです。
UEBAは、ルールロジックではなく行動コンテキストに基づいて動作します。SIEMでは、ルールで指定された地域からのログインに対してアラートを出す場合があります。一方UEBAは、その地域自体がブロックリストに含まれていない場合でも、その特定のユーザーの確立されたログインパターンから逸脱していれば、同じイベントにフラグを立てます。この違いにより、アラートの品質には明確な差が生まれます。ルールベースのシステムは、ルールが個々のコンテキストを考慮しないため、大量の誤検知を生成します。行動ベースのシステムは、その特定のエンティティにとって何が正常であるかを基準に各イベントをスコアリングするため、アラートの件数は少なくても、より精度の高いアラートを提示できます。
多くの組織ではSIEMとUEBAを併用しています。UEBAは、SIEMアラートに強化された行動コンテキストを提供するか、ルールでは見逃されるものを検出する独立した検出レイヤーとして機能します。
UEBAとUBAの違い:何が変わり、なぜ重要なのか
ユーザー行動分析(UBA)は、このテクノロジーの初期形態であり、人間のユーザーアカウントのみに焦点を当てていました。Gartnerが2015年に「エンティティ」へ対象を拡張した背景には、実際の検出カバレッジのギャップがありました。特に、最も深刻な攻撃の一部は、人間のユーザーアカウントではなく、サービスアカウント、デバイス、アプリケーションを経由して環境内を移動するためです。
この違いは、実運用において重要です。多くの攻撃では、サービスアカウントの侵害が攻撃の足がかりとして利用されますが、UBAのみのシステムでは、こうした挙動を完全に見逃してしまう可能性があります。
最新のSOCにおけるUEBAの位置づけ
UEBAは、独立したセキュリティプログラムではなく、より広範なSOCアーキテクチャ内で検出およびエンリッチメントのレイヤーとして機能します。多くの導入環境では、既存のログ基盤と統合され、行動リスクスコアや異常アラートを検出ワークフローに提供します。
UEBAは2つの段階で価値を発揮します。検出段階では、ルールベースのツールが見逃す行動異常を可視化します。調査段階では、エンティティ行動のタイムラインビュー、過去のベースライン、リスクスコアリングをアナリストに提供し、トリアージを迅速化します。SIEMがアラートを生成した際、関連するアカウントが過去数日間に通常とは異なる挙動を示していたかどうかを示すUEBAコンテキストがあることで、5分で終わるトリアージになるか、1時間に及ぶ調査になるかが分かれる場合があります。
エクサフォースのビヘイビアモデルは、エクサボット検出の機能セットにネイティブコンポーネントとして組み込まれています。つまり、アナリストが別のシステムに切り替える必要なく、行動異常が調査ワークフロー内に直接表示されます。この統合により、スタンドアロン型のUEBA製品で一般的に生じるワークフロー上の摩擦を解消できます。
UEBAを評価する際に確認すべきポイント
UEBA市場には、スタンドアロン製品、SIEM統合モジュール、そしてコア検出エンジンに行動分析を組み込んだAIネイティブプラットフォームまで、さまざまな製品があります。これらを評価する際には、優れた実装と不十分な実装を分けるいくつかの重要な要素があります。
データ取り込み範囲の広さは、検出カバレッジを左右します。IDプロバイダーのログのみを取り込むシステムでは、エンドポイントやクラウドプラットフォームのシグナルを見逃します。アイデンティティ、エンドポイント、ネットワーク、クラウドIaaS、SaaSアプリケーション全体をカバーしているかを確認してください。データソースが多いほど、ビヘイビアモデルはより豊富になります。
ベースラインの精度は、異常スコアリングと同じくらい重要です。不完全なデータや一貫性のない方法で収集されたデータに基づくモデルでは、誤検知を引き起こすノイズの多いベースラインが生成されます。ベンダーには、データ収集アーキテクチャや、テレメトリ欠損への対処方法について確認してください。
アラート品質は、実運用における重要な評価指標です。異常アラートの件数が多いだけでは、すでにアラート過多に直面しているSOCの助けにはなりません。システムが個々のシグナルをどのように実用的なリスクスコアへ集約しているか、また、そのスコアが実際の脅威とどの程度相関しているかを評価してください。
UEBAがセキュリティプログラムを強化する方法
UEBAは、既知の攻撃パターンではなく、正当な行動から生じる脅威に対する検出課題に対応します。ユーザー、デバイス、サービスアカウント、アプリケーションの行動ベースラインを構築することで、UEBAはセキュリティチームに、通常のアクティビティと重大な侵害の前兆となる微妙なパターンを区別するために必要なコンテキストを提供します。
このテクノロジーは、行動分析が独立した製品として機能するのではなく、より広範な検出および調査ワークフローに統合されている場合に最も効果を発揮します。データ取り込み範囲、ベースライン精度、アラート品質、統合の深さという観点からソリューションを評価することで、セキュリティ責任者は、ノイズを増やすのではなく削減できるシステムを選定するための実践的なフレームワークを得られます。
貴社のチームがSOC向けの行動検出機能を評価している場合は、デモをリクエストしてください。エクサフォースのビヘイビアモデルが、ユーザー、デバイス、サービスアカウント全体にわたる異常アクティビティを、インシデントへ発展する前にどのように可視化するかをご確認いただけます。
