振る舞い分析とは

振る舞い分析には、組織のユーザーの傾向とアクティビティパターンの調査が含まれます。サイバーセキュリティのコンテキストでは、振る舞い分析は、ネットワークおよびアプリケーション内のユーザーの振る舞いに焦点を当て、セキュリティの脅威を示す可能性のある異常なアクティビティを監視します。

現代のサイバー脅威が複雑化し、巧妙化するにつれて、サイバーセキュリティにおける振る舞い分析の役割も同様に重要性を増しています。従来のセキュリティ対策では見逃す可能性のある異常を特定することで、追加の保護レイヤーを提供します。

この記事では、振る舞い分析の概念、サイバーセキュリティにおけるそのアプリケーション、および結果的に生じるいくつかの課題について説明します。まず、基本的な理解を深めることから始めましょう。

振る舞い分析の概要

振る舞い分析は、単なるデータの収集をはるかに超えています。これには、組織内のユーザーとシステムのアクティビティを深く分析し、その方法、時期、理由を解明することが含まれます。アクティビティのリアルタイム評価は、パターンを特定して異常な使用状況や潜在的に有害な振る舞いを明らかにするために役立ちます。

人工知能 (AI) と機械学習 (ML) は、多くの場合、振る舞い分析を補強します。AI/MLは、大量のデータをふるいにかけ、パターンと不規則性を特定できます。AI/MLを統合することで、組織の振る舞い分析プロセスに自動化と効率化の利点がもたらされます。

当然、振る舞い分析は、多様なデータセットを処理する場合に最高のパフォーマンスを発揮します。これにより、ユーザーとシステムの振る舞いを360度理解できます。振る舞い分析で使用されるデータのタイプには、次のようなものがあります。

• ネットワークトラフィック
• データベースアクティビティ
• ユーザーアクティビティ
• システムイベント

振る舞い分析は、振る舞いベースライン（組織のネットワーク内で正常と見なされる標準的なアクティビティ）を確立することから開始します。ベースラインが特定されると、振る舞い分析エンジンにより、セキュリティの脅威または脆弱性を示す可能性のあるベースラインからの逸脱を特定できます。逸脱には、振る舞いベースラインからの逸脱の程度に基づいてフラグを立てることができます。

この基本的な理解に基づき、振る舞い分析がサイバーセキュリティにどのように適用されるかを考えてみましょう。

サイバーセキュリティにおけるアプリケーション

振る舞い分析には、サイバーセキュリティにおけるさまざまなアプリケーションが存在します。サイバーセキュリティ業界で最も価値の高い振る舞い分析のリソースの1つは、攻撃者の戦術、手法、手順 (TTP) に関する業界の知識を表す、MITRE ATT&CK®フレームワークです。アクティビティをMITRE ATT&CKフレームワークにマッピングすることで、組織は、攻撃者が特定のアクションを実行する可能性がある理由と、これらの振る舞いによって攻撃者がどのように目的を達成できるかを把握できます。以下に、サイバーセキュリティにおける振る舞い分析のアプリケーションの例をいくつか示します。

• インサイダー脅威の検知：振る舞い分析は、組織内（おそらくは従業員または契約業者）からの悪意のある振る舞いを示す可能性のある、異常なアクティビティを特定するために役立ちます。
• 持続的標的型攻撃 (APT攻撃) の検知：APTとは、侵入者がネットワーク内に検知されない状態で存在し、長期間にわたって機密データを盗むサイバー攻撃です。振る舞い分析は、他の方法では気付かれない可能性のある異常なパターンにフラグを立てることで、APTを見つけることができます。
• 異常検知と脅威ハンティング：振る舞いベースラインから逸脱したアクティビティのパターンを認識することで、振る舞い分析は、潜在的な脅威をプロアクティブに探すために役立ちます。
• インシデント対応と調査：インシデント後、組織は振る舞い分析を使用し、攻撃時に発生した異常を調査することで、フォレンジック分析を支援します。

サイバーセキュリティにおけるそのアプリケーションは広範ですが、振る舞い分析にはいくつかの課題と制限も伴います。

振る舞い分析の課題と制限

振る舞い分析は企業のサイバーセキュリティ対策を強化するうえで利点がありますが、組織は、関連する課題についても考慮する必要があります。

フォールスポジティブとフォールスネガティブ

振る舞い分析は強力で、それがもたらすセキュリティインサイトは驚異的ですが、フォールスポジティブまたはフォールスネガティブを避けることはできません。フォールスポジティブは、無害なアクティビティに悪意のあるものとしてフラグが立てられたときに発生します。これにより、調査や緩和策にリソースが浪費される可能性があります。反対に、フォールスネガティブは、本物の脅威が検知されない場合に発生します。これはセキュリティインシデントにつながると同時に、システムへの信頼を完全に損なう可能性があります。

プライバシーに関する懸念事項

振る舞い分析には、組織のネットワーク内のユーザーアクティビティデータを包括的に収集することが欠かせません。これにより、ユーザーのプライバシーに関する懸念事項が生じる可能性があります。振る舞い分析ツールは、機密性の高いユーザー情報を収集する可能性があります。このため、組織は、倫理的な考慮事項とコンプライアンス要件に対処するために、収集するデータの種類について透明性を保ち、細心の注意を払う必要があります。

ツールの統合の複雑性

組織が振る舞い分析の実装を開始すると、新しいツールを既存のセキュリティインフラストラクチャに統合する際の障壁が必然的に生じます。ツールの統合は複雑で時間がかかる場合があります。これにより、組織のリソースが費やされ、移行フェーズ中にセキュリティギャップのリスクが生じます。

クラウドストライクからの振る舞い分析の導入

振る舞い分析は、サイバーセキュリティの武器となる重要な部分です。振る舞いの微妙なパターンを特定し、脅威を検知して、インシデント後の調査を支援するために、組織には振る舞い分析が必要です。AI/MLと組み合わせることで、振る舞い分析は、従来のセキュリティ手法に取って代わる追加のセキュリティレイヤーを提供します。その実装にはいくつかの課題がありますが、サイバーセキュリティポスチャにとって大きな利点があります。

CrowdStrike Falcon®プラットフォームは、AIネイティブな保護をシステムに提供します。ランタイムの脅威の検知では、センサーテレメトリをクラウドベースの脅威インテリジェンスおよびAIを活用した攻撃の痕跡 (IOA) と組み合わせて、振る舞い分析を活用します。

さらに、CrowdStrike Falcon® Identity Protectionは、企業がアイデンティティベースのインシデントや異常から保護するために役立ちます。ライブトラフィックを振る舞いベースラインと比較することにより、プラットフォームは、脅威とラテラルムーブメントのリアルタイム検知を支援します。