UEBA（ユーザーとエンティティの振る舞い分析） システムは、AIと機械学習 (ML) を使用して組織のネットワークを監視し、セキュリティの脅威を示す可能性のあるユーザーとエンドポイントの振る舞いに関連した不審なアクティビティを分析します。現代のサイバー攻撃が巧妙化する中、UEBAは、従来のサイバーセキュリティ対策では見逃されていた脅威の捕捉に重要なものになっています。

この記事では、UEBAの主要な概念とコンポーネント、およびUEBAがもたらす利点と課題について説明します。まず、UEBAのコアとなる概念について詳しく見ていきましょう。

UEBAのコアとなる概念

UEBAは、MLとデータ分析手法を使用して、組織内のユーザーとエンティティの典型的な振る舞いパターンを確立します。この振る舞いベースラインを確立することで、UEBAは組織のシステムやネットワーク内の異常なパターンのアクティビティを検知することができます。これらの異常な振る舞いは、認証情報の窃取、エンティティの侵害、インサイダー攻撃などの脅威を示している可能性があります。

より一般的には、振る舞い分析は、反復的または重要なアクティビティの研究を指します。サイバーセキュリティのコンテキストでは、振る舞い分析は、ユーザーやエンティティが通常、組織のシステムとどのようにやり取りしているかを理解することに焦点を当てています。UEBAの「ユーザー」には、組織の従業員、請負業者、さらにはお客様が含まれる場合があります。一方、「エンティティ」は、ネットワーク内で通信するそれ以外のものである場合があります。これには、サーバー、デバイス、アプリケーションなどが含まれます。サイバー脅威は必ずしも人間と結びついているとは限らないため、UEBAにエンティティが含まれていることが重要です。自動化されたボットや侵害されたデバイスは、人間の攻撃者と同じくらい損害を与える可能性があります。

実際的応用

UEBAには、現代の企業内で実際に応用できることが多数あります。

• ネットワークセキュリティ：ユーザーとエンティティの両方によるネットワークアクティビティおよびリソースアクセスを監視して、脆弱性や侵害を検知します。
• インサイダー脅威の検知：承認されたユーザーからの異常なアクティビティを特定し、組織内から有害なアクションがある可能性を示します。
• 攻撃者の侵入：攻撃者の侵入を示す可能性のある異常なデータアクセスパターンを検知し、チームに警告します。

UEBAのコンポーネントとプロセス

効果的なUEBAには、さまざまなコンポーネントとプロセスの調整が必要です。これらのコンポーネントを組み合わせることで、潜在的なセキュリティ脅威を監視、分析、および警告するシステムが形成されます。これらの各コンポーネントについて詳しく見ていきましょう。

データ収集

MLモデルの有効性は、使用可能なデータの量によって異なります。当然のことながら、UEBAには、組織のシステム全体のさまざまなソースからのデータが必要です。これらのデータソースには、次のものが含まれます。

• システムログ
• ネットワークトラフィックデータ
• アプリケーションの使用メトリック
• ユーザーアクティビティログ

このデータはリアルタイムで収集され、UEBAが正常な振る舞いと異常な振る舞いを理解するためのベースラインを確立するのに役立ちます。

分析エンジンとML

分析エンジンは、収集された生データを取り込み、トレーニングにMLアルゴリズムを適用します。このトレーニングに基づいて、UEBAシステムは、お使いのシステム内で通常の振る舞いとして適格なものを理解することができます。このベースラインを確立することは、異常なパターンのアクティビティと潜在的なセキュリティ脅威を特定するための鍵となります。

継続的モニタリングによる異常の検知

振る舞いベースラインが確立されると、UEBAシステムはネットワークを継続的に監視します。標準からの逸脱を検知した場合は、さらに調査するためにその異常にフラグを立てます。

アラートと対応

異常にフラグが立てられると、システムはセキュリティチームに、専門家による人間主導の検証を実施するようアラートを通知します。即時通知によって迅速な対応が可能になります。専門家が異常を調査し、リスクを軽減するための適切な措置を講じます。軽減策は、ユーザー権限の変更から侵害されたシステムの分離まで多岐にわたります。

UEBAの仕組みが明確になったので、それに関連する利点と課題について考えてみましょう。

UEBAを使用する利点と課題

UEBAは、現代のサイバーセキュリティにとってますます重要になっていますが、その利点とともに課題ももたらしています。組織がUEBAの実装を検討する際には、これらの両方を理解することが重要です。

利点

UEBAは、継続的モニタリングと振る舞いパターンの分析を通じて、従来のサイバーセキュリティ対策では見逃されがちな異常を検知することで、セキュリティを強化します。このリアルタイム分析により、進化する脅威の状況に直面しても強力なセキュリティポスチャを確保し、チームは脅威が発生したらすぐにその脅威に対して迅速な行動を取ることができます。

上記の利点に加えて、UEBAは企業コンプライアンスにも役立ちます。UEBAは、詳細なログを保持し、定期的な分析を行うことで、特定の業界や地域が義務付けているコンプライアンス要件を満たすのに役立ちます。

課題

もちろん、UEBAの活用に課題がないわけではありません。UEBAを利用する上での大きな課題の1つが、フォールスポジティブのリスクです。正常な振る舞いに異常のフラグが立てられると、その調査に時間とリソースが費やされます（そして浪費されます）。

さらに、UEBAを採用する場合の実装上の複雑さに気づき、興味を失ってしまう組織もあります。UEBAでは、多くの場合、MLの概念についての深い理解とMLシステムを微調整する能力が必要になります。

最後に、UEBAの有効性は、その広範なデータ収集方法にかかっています。必要なデータ収集のレベルが侵襲的であると見なされる可能性があるため、一部の組織では、これによってデータプライバシー上の懸念が問題になります。

AIを活用した振る舞い分析をクラウドストライクから導入

要約すると、UEBAは、MLとデータ分析を活用して、組織内のセキュリティ脅威を検知し軽減するための堅牢でリアルタイムのメカニズムを提供します。

CrowdStrike Falcon® Next-Gen Identity Securityは、振る舞い分析を活用して異常なアクションを検知します。例えば、AD（Active Directory）の場合、Falcon Next-Gen Identity Securityは認証データと履歴データに基づいて、すべてのユーザーの通常の振る舞いをベースライン化します。高度なアルゴリズムとMLテクノロジーを使用して、アカウントを自動分類し、ADの攻撃パスや権限昇格の可能性（ADオペレーターから一般的に隠される脅威ベクトル）と関連付けます。

Falcon Next-Gen Identity Securityは、すべてのエンティティについて詳細な振る舞いプロファイルを構築し、何が正常な振る舞いと見なされ、何が正常な振る舞いと見なされないかのベースラインを確立します。ベースラインの振る舞いからの逸脱には、脅威検知のフラグが立てられ、事前定義されたポリシーに基づいて自動対応がトリガーされます。Falcon Next-Gen Identity Securityは、リアルタイムの継続的モニタリングを提供しているため、リスクの増加が検知されるとすぐにラテラルムーブメントを停止できます。これは、従来のSIEM（セキュリティ情報およびイベント管理）ソリューションなど、ログの取り込みと分析に依存して異常な振る舞いを検知する他のシステムとは対照的です。

AIを活用したUEBAシステムにより、組織はサイバーセキュリティの取り組みを強化し、従来のサイバーセキュリティ対策では検出できなかったセキュリティ脅威を検知することができます。CrowdStrike Falcon® Adversary IntelligenceはCrowdStrike Falcon®プラットフォームの一部であり、脅威インテリジェンスにAI/MLを使用して攻撃の痕跡 (IOA) を特定します。詳細については、今すぐクラウドストライクにお問い合わせください。