サイバーセキュリティソリューション市場は、無数のベンダーと数多くの略語であふれています。その中でも、脅威ベクトルの高度な検知や、差し迫った脅威の通知に注目する現代の企業は、セキュリティ技術スタックにおける2つの重要な要素、すなわちユーザーおよびエンティティのUEBA(振る舞い分析)とSIEM(セキュリティ情報およびイベント管理)に注目しています。
この記事では、UEBAとSIEMを比較し、それぞれがサイバーセキュリティにおいて果たす役割と相互に補完し合う仕組みについて紹介します。
UEBAとは
UEBAは、モニタリングアクティビティに重点を置いたツールで、異常な振る舞いを識別し、セキュリティの脅威を検知します。UEBAは、人間のユーザーだけでなく、サーバー、ルーター、IoT(モノのインターネット)デバイス、その他のシステムといったマシンエンティティも対象とします。
UEBAソリューションは、まずアプリケーションログや各種メトリックを分析し、事前定義されたアルゴリズムとML(機械学習)を用いて振る舞いのベースラインを確立します。その後、リアルタイムのユーザーおよびエンティティのアクティビティをこのベースラインの振る舞いと比較し、異常なアクティビティが検知された場合にアラートを発します。
UEBAツールは、従来のルールベースのシステムでは見逃されがちな脅威を検知します。振る舞いに着目しているため、UEBAソリューションは内部脅威の検知にも対応できます。例えば、攻撃者が正規ユーザーの認証情報を入手し、大量のデータをダウンロードするケースを考えてみましょう。UEBAはこの行動をユーザーの通常の行動と比較し、異常としてフラグを立てます。従来のルールベースのツールでは、正規のユーザーアカウントからの操作であるため、このような異常を検知できない可能性があります。
SIEMとは?
SIEMは、セキュリティ情報管理とセキュリティイベント管理を組み合わせたものです。SIEMソリューションは、オンプレミスやクラウド環境を含めた組織のITインフラストラクチャからログを収集します。これらのログを統合し、事前定義されたルールに基づいてリアルタイムの脅威検知アルゴリズムを実行します。さらに、高度な分析を用いて、セキュリティインシデントを示唆する可能性のある隠れたパターンや相関関係を発見および特定します。
SIEMの主な焦点はログの収集と分析にありますが、コンプライアンスの維持やフォレンジック監査においても重要な役割を果たします。ログはSIEMシステム内で一元的に保存されるため、SIEMツールはセキュリティイベントへの対応を追跡します。多くのSIEMツールは、PCI DSSやHIPAAといった規制フレームワークに対するコンプライアンスを支援し、MTTD(平均検知時間)やMTTR(平均対応時間)といったメトリックの改善にも寄与します。
SIEMソリューションは、ログやセキュリティインシデントの分析に関わる一般的なプロセスを自動化することで、これらの処理を実行します。
次世代SIEMの完全ガイド
このガイドをダウンロードして、SIEMの進化と、従来型から最新のSIEMテクノロジーへの移行が将来のSOCにとっていかに重要であるかを詳しく見てみましょう。
次世代SIEMの完全ガイドをダウンロードUEBAとSIEMの比較
UEBAとSIEMはいずれも組織全体のサイバーセキュリティにおいて重要な役割を果たしますが、両者にはいくつかの明確な違いがあります。
| モニタリングの焦点 | UEBAはユーザーおよびエンティティの振る舞いに焦点を当てます。UEBAツールはまず、ユーザーまたはエンティティごとにアクティビティをグループ化し、そのうえで振る舞いの異常を検出します。 | SIEMソリューションは、セキュリティデバイスからのイベントログやデータを集約し、有害なイベントパターンを検知します。特定のユーザーやエンティティに焦点を当てるものではありません。 |
| 検知方法 | UEBAシステムは、期待される振る舞いのベースラインを確立した上で、振る舞い分析と異常検知を行うことで脅威を検知します。 | ほとんどのSIEMシステムは、ベースラインに依存するのではなく、あらかじめ定義された相関ルールやアルゴリズムに基づいて、潜在的な脅威パターンにフラグを設定します。 |
| データソース | UEBAは、ユーザーおよびエンティティのデータ(構造化データおよび非構造化データを含む)をその振る舞いに基づいて分析します。このデータソースには、分析対象のアクティビティログに含まれていない情報が含まれることもあります。 | SIEMは、ネットワークファイアウォールやその他のセキュリティデバイスからの構造化ログを扱います。 |
| データストレージ | UEBAは、リアルタイムデータを確立されたベースラインと比較し、ベースラインが確立される間は振る舞いログを短期間保存します。 | ほとんどのSIEMシステムは、コンプライアンスモニタリングやフォレンジック監査をサポートしており、ログは設定されたアーカイブポリシーに従って長期間保存されます。 |
補完的な役割
両者には違いがあるものの、UEBAとSIEMは、より広範なセキュリティ戦略の中で相互に補完し合う役割も果たします。
包括的なセキュリティアプローチ
SIEMとUEBAは、互いの脅威検知およびアラート機能を強化します。SIEMはログを通じてイベントデータの広範な可視性を提供する一方で、UEBAは時間をかけてユーザーおよびエンティティ固有の振る舞いを分析することで深みを加えます。UEBAは、これまで知られていなかった脅威要素を検知する能力を持つため、内部脅威ベクトルに対しても効果的です。
一部の最新SIEMツールは、その価値の高さからUEBA機能を機能セットに追加しています。SIEMとUEBAの両方を備えたセキュリティプラットフォームは、セキュリティ脅威に対抗する理想的な武器となります。
脅威検知の強化
SIEMとUEBAを組み合わせることで、組織は疑わしい内部アクティビティを含む脅威を検知できるようになります。SIEMはあらかじめ定義されたルールに基づいて既知の脅威を検知するのに優れており、UEBAはまだ知られていない可能性のあるステルス性の高い高度な脅威を捕捉します。UEBAは特定のパターンを探すわけではないため、従来のルールが適用できない場合にも役立ちます。UEBAは代わりに、確立されたベースラインから逸脱した振る舞い行動を検出します。
UEBAとSIEMを統合して包括的な保護を実現
SIEMとUEBAはサイバーセキュリティの異なる側面に対応しており、それぞれがより広範なセキュリティ戦略において大きな価値をもたらします。SIEMがシステム全体から収集された構造化ログに焦点を当てる一方で、UEBAはユーザーおよびエンティティのアクティビティを分析して異常な振る舞いを検知します。
組織のセキュリティを強化する実践的な方法は、SIEMとUEBAを明確に定義された戦略と統合することです。オールインワンのサイバーセキュリティプラットフォームであるCrowdStrike Falcon®プラットフォームは、UEBAやSIEMを含む一連のツールを提供し、組織が潜在的なセキュリティ脅威を常に把握できるようにします。
振る舞い分析と異常検知には、多くの組織がCrowdStrike Falcon® Identity Protectionを活用しています。機械学習に基づく脅威インテリジェンスや、セキュリティスタック全体の効果を最適化するAIネイティブな攻撃の痕跡 (IOA) については、CrowdStrike Falcon® Adversary Intelligenceを検討できます。包括的で高性能なSIEMソリューションを必要とする組織には、すべてのデータに対して業界最高水準の検知、調査、対応を提供するCrowdStrike Falcon® Next-Gen SIEMがおすすめです。
パオラ・ミランダは、クラウドストライクのプロダクトマーケティング部門のシニアマネージャーとして、主にFalcon Fusionを担当しています。クラウドストライクに入社する前は、IBM SecurityとDevoで、脅威インテリジェンス、SIEM、SOARなどのソリューションを担当するプロダクトマーケティングチームを率いていました。ノースカロライナ大学グリーンズボロ校でマーケティングの学士号、デューク大学で経営学修士号を取得しています。
