ほとんどのセキュリティツールは、「攻撃がどのようなものか」を識別することを前提に設計されています。一方、ユーザーおよびエンティティ行動分析(UEBA)は異なるアプローチを取ります。まず「通常の振る舞い」を学習し、そこから逸脱する挙動を検知します。一見シンプルに思える仕組みですが、その前提を支えるエンジニアリングこそがUEBAの価値であり、多くの実装で差が生まれるポイントでもあります。
本記事では、単なる定義の説明にとどまらず、UEBAの仕組みをより深く掘り下げます。すでにUEBAの概要を理解しており、ビヘイビアベースラインがどのように構築されるのか、異常スコアリングがどのように機能するのか、さらに本番環境において「エンティティ」が実際に何を指すのかを理解したい方にとって、最適な出発点となる内容です。
ビヘイビアベースラインはどのように構築されるのか
あらゆるUEBAシステムの基盤となるのが、ベースラインモデルです。システムが異常な振る舞いを検知するためには、まず「通常の振る舞い」を正確に表現できなければなりません。しかし、このモデルの構築は見た目以上に複雑です。
初期学習フェーズでは、UEBAプラットフォームは環境全体からイベントデータを取り込みます。これには、認証ログ、ファイルアクセス記録、ネットワークフロー、権限使用イベント、アプリケーションアクティビティなどが含まれます。その後、統計分析と機械学習を用いて、各ユーザーおよびエンティティにとって何が「通常」であるかを特徴付けます。これにより、ユーザーが通常業務を行う時間帯の範囲、普段アクセスするシステム、通常操作するファイル量、認証元となる地理的位置などの分布を捕えた堅牢なベースラインが構築されます。
学習フェーズは一般的に2〜4週間実行され、その後に有効なベースラインが確立されます。期間が短すぎるとノイズの多いモデルになり、長期間にわたる学習では、月末の財務処理や四半期ごとのアクセス急増といった周期的なパターンをより適切に捕えられます。一部のシステムでは、静的なモデルを固定するのではなく、継続的にベースラインを更新するローリングウィンドウ方式を採用しています。この方式は、新しいプロジェクトへの参加や役割変更などに伴う正当な行動変化に対して、固定型アプローチよりも柔軟に対応できます。
重要な変数のひとつが、基盤となるデータ品質です。ログ収集の欠落、不整合なタイムスタンプ、不完全なイベントカバレッジが存在すると、実際の振る舞いではなく、データ収集アーキテクチャを反映したベースラインが生成されます。これは、UEBA導入時における誤検知の最も一般的な原因のひとつです。
異常スコアリングはどのように機能するのか
ベースラインが確立されると、システムは継続的に受信イベントをそのベースラインと照合しながらスコアリングを行います。このスコアリングメカニズムは、他のどの要素よりも検知品質を左右します。
最も基本的なレベルでは、異常スコアリングは、観測されたイベントがそのエンティティにおける想定範囲内の分布に収まっているかどうかを評価します。たとえば、通常は午前8時から午後7時の間にログインするユーザーが、午前3時に認証を実行した場合、その時間帯パターンがそのユーザーにとってどれほど異常であるかに基づいてスコアが付与されます。ベースラインが詳細であるほど、スコアの意味合いもより精度の高いものになります。
より高度なシステムでは、イベントをコンテキスト込みでスコアリングします。たとえば、午前3時のログインであっても、ユーザーの通常の所在地からのアクセスと、新しい国からのアクセスではスコアが異なります。どちらも営業時間外のアクセスではありますが、リスク評価は同一ではありません。さらに、地理情報、デバイス、アクセス先リソース、セッション行動といった要素をスコアリングモデルに追加することで、回避が難しく、実際の脅威をより高精度に予測できる異常シグナルを生成できます。
ほとんどのUEBAプラットフォームでは、その後、個々のイベントスコアをエンティティ単位のリスクスコアへ集約します。システムは異常イベントごとにアラートを生成するのではなく、時間の経過とともにリスクを蓄積し、行動パターン全体が最も大きく変化したエンティティを可視化します。この集約によってアラート量が削減されます。これは、しきい値ベースの検知と比較した場合におけるUEBAの主要な実用的メリットのひとつです。同時に、単独では軽微に見える継続的な行動変化に対する検知感度も維持できます。
ログ管理に関するNIST Special Publication 800-92および継続的モニタリングに関するNIST SP 800-137では、効果的なビヘイビア分析を支えるデータ収集プラクティスに関する基本的な指針が示されています。
実務における「エンティティ」の意味
ユーザー行動分析(UBA)からユーザーおよびエンティティ行動分析(UEBA)へと拡張されたことで、「エンティティ」というカテゴリが導入されました。この価値は過小評価されがちなため、慎重に整理する必要があります。
UEBAの文脈におけるエンティティとは、振る舞いをプロファイリングできる、人間以外のアクターまたは資産を指します。組織が主に監視するカテゴリには、サービスアカウント、デバイス、アプリケーション、また一部の実装ではネットワークエンドポイントが含まれます。
サービスアカウントは、セキュリティ上の価値が最も高いエンティティタイプです。これらのアカウントは、アプリケーション、スクリプト、自動化プロセスで使用されますが、インベントリ管理が不十分で、レビューされる機会も少なく、高い権限を持っていることがよくあります。人間のアカウントと同じ方法では監視されないため、侵害されたサービスアカウントは、攻撃者にとって魅力的なラテラルムーブメントの経路となります。サービスアカウントの振る舞い、つまりアクセスするシステム、実行するコマンド、操作するリソースをモデル化するUEBAシステムであれば、ユーザー中心の監視では完全に見えない侵害パターンを検知できます。
デバイスプロファイリングは、さらに別の検知軸を加えます。エンドポイントは、実行するプロセス、確立するアウトバウンド接続、実行するファイル操作などの行動パターンを示します。ワークステーションが通常とは異なるプロセスを突然実行したり、通常とは異なる外部宛先へ接続したりする場合、それはエンドポイントプロファイリングによって可視化できるシグナルです。
アプリケーション行動分析は、SaaSプラットフォーム、クラウドサービス、社内アプリケーションを対象とします。アプリケーションがこれまで実行したことのないAPIコールを行ったり、通常範囲を大きく超えるデータ量にアクセスしたりする場合、誤用、設定ミス、または侵害を示している可能性があります。組織がより多くのインフラストラクチャをクラウド環境やSaaS環境へ移行するにつれ、アプリケーションレベルのエンティティプロファイリングは、重要な検知対象領域となっています。
ピアグループ分析とその重要性
UEBAにおける、より強力なモデリング手法のひとつがピアグループ分析です。この手法では、各エンティティの振る舞いをその過去のベースラインと比較するだけでなく、同じ役割を持つ他のユーザー、同じハードウェアプロファイルを持つ他のデバイス、あるいは類似したアクセス権限範囲を持つ他のサービスアカウントなど、類似するエンティティ群の振る舞いとも比較します。
これが重要である理由は、個別のベースラインは正当な理由によって変化する可能性があるためです。新入社員の行動はオンボーディングに伴って変化し、シニアリーダーのアクセス権限もプロジェクトの進行に応じて変化します。ピアグループ比較は、こうした状況に対する第二の参照基準を提供します。ユーザーの振る舞いが、自身の過去ベースラインとピアグループベースラインの両方から同時に逸脱している場合、その組み合わせは、単独の逸脱よりもはるかに強力なシグナルとなります。
また、ピアグループ分析は、個別ベースラインだけでは可視化できない振る舞いも検出できます。たとえば、あるアカウントが過去に自身でアクセスしたことのあるリソースであっても、同じ役割グループ内の他のユーザーが誰もアクセスしたことがない場合、そのアクセスパターンは文脈上は異常であると判断されます。たとえ技術的には、その個人の行動範囲内に収まっていたとしてもです。
UEBAを効果的に機能させるデータソース
UEBAの検知範囲は、取り込むデータの広さに直接比例します。ビヘイビアモデルへ入力されるデータソースが多いほど、ベースラインはより豊富かつ正確になり、脅威が単一のデータストリーム内だけで活動して検知を回避することも難しくなります。
多くの導入環境における主要なデータソースには、アイデンティティプロバイダーログ(Active Directory、Okta、Azure AD)、エンドポイント検出および対応(EDR)テレメトリ、ネットワークフローデータ、クラウドプラットフォームログ(AWS CloudTrail、GCP Audit Logs、Azure Activity Logs)、SaaSアプリケーションログ、メールプラットフォームアクティビティが含まれます。各ソースは、それぞれ異なるビヘイビアシグナルを提供します。アイデンティティログは認証パターンを、EDRテレメトリはプロセスおよびファイルの挙動を、ネットワークフローは通信パターンを、SaaSログはアプリケーション利用状況を明らかにします。
インテグレーション上の課題は現実的な問題です。データスキーマはソースごとに異なり、タイムスタンプの正規化も必要であり、イベント量は非常に膘大になる場合があります。これらのインテグレーションを安定して管理し、ソース間で一貫したデータ品質を維持できるUEBAプラットフォームは、対応に苦戦する製品と比較して、はるかに高品質なベースラインを生成できます。エクサフォースのマルチモデルAIアーキテクチャは、この課題に対して、ログ、アイデンティティ、構成情報、アプリケーションデータをビヘイビアモデリング開始前に統一的な表現へ変換するセマンティックデータモデルによって対応しています。
UEBAが重要である理由:埋めることのできる検知ギャップ
UEBAが特に効果を発揮する脅威カテゴリには共通点があります。それは、攻撃者が正規の認証情報、正規のツール、そして正規のアクセス経路を利用していることです。シグネチャ検知やルールベースの相関分析では、これらの脅威を検知できません。なぜなら、照合対象となる本質的に悪意のある指標が存在しないためです。この場合における唯一の検知シグナルは、行動の逸脱です。
IBM Cost of a Data Breach Reportでは、一貫して、侵害された認証情報とインサイダー脅威が最も高コストな侵害シナリオのひとつとして挙げられています。その理由の一部は、これらの脅威が特に長い滞留時間を持つためです。発見までに数週間から数か月を要する脅威は、迅速に検知された脅威と比較して、はるかに大きな被害を引き起こします。UEBAの継続的なビヘイビア監視は、本格的な侵害に至る前に現れる微細な異常を捕えることで、この滞留時間を短縮します。
UEBAがSecOpsアプローチをどのように変えるのか
ユーザーおよびエンティティ行動分析が機能する理由は、検知モデルそのものを転換する点にあります。既知の悪性パターンを探すのではなく、既知の正常パターンからの逸脱を検出するためです。この検知品質は、ビヘイビアベースラインの品質、異常スコアリングの高度さ、そしてエンティティカバレッジの広さに依存しており、これらの要素は実装ごとに大きく異なります。
UEBAを評価する組織は、ベンダーがどのようにベースラインを構築しているのか、データ品質の問題へどのように対応しているのか、さらに個々の異常シグナルをどのように実用的なリスクスコアへ集約しているのかを詳しく確認する必要があります。重要なのはマーケティングメッセージだけではなく、その背後にある仕組みです。これを理解しているかどうかが、ノイズを削減するUEBA導入と、逆にノイズを増やしてしまう導入との違いを生みます。
実際の脅威シナリオに対してビヘイビア分析がどのように機能するのかを自社環境で確認したい場合は、デモをリクエストしてください。エクサフォースのビヘイビアモデルが、ユーザー、デバイス、サービスアカウントをどのようにプロファイリングし、重要なシグナルを可視化するのかをご確認いただけます。
