UEBAとは

UEBA(User and Entity Behavior Analytics)とは、複数のセキュリティ製品やネットワーク機器などからログを集約し、ユーザー(User)の振る舞いだけでなく、サーバーやIoT機器などネットワーク上にあるすべての実体(Entity)の振る舞いを分析するテクノロジーのこと。

これまでも、ユーザーの振る舞いを分析し、不正な行動やリスクを早期に検知するテクノロジーとして、UBA(User Behavior Analytics)と呼ばれる手法があった。UEBAは分析対象をユーザーだけでなく、ネットワークに接続されたサーバーなどの機器にも拡大している点が異なる。

サイバー攻撃による脅威が増加し、また、内部犯行による情報漏洩や組織内のマルウェア拡散といった脅威も増えている。また、サイバー攻撃の手法も多様化、高度化し、明らかに異常な振る舞いなどを避け、セキュリティ機器の検知を回避するタイプの攻撃も増えてきた。

そこで、サーバーやネットワーク機器、セキュリティ関連機器などから集められたログ情報に基づいて、異常があった場合に管理者に通知する仕組みとしてSIEMが登場した。

SIEMはさまざまなネットワーク機器のログを一元管理し、分析することで脅威を可視化し、脅威の早期発見などセキュリティ運用の効率化に寄与する。

UEBAは、ユーザーやネットワーク機器の不審な振る舞いの可視化に特化しており、また、導入時の設定や運用時の操作、メンテナンスなどに担当者の負荷を軽減する工夫がなされている。

UEBAのメリットは、ルールベース型の検知手法と比較して、セキュリティインシデントの検知範囲が広いことが挙げられる。ルールベース型の検知方法では、当然ながら異常な振る舞いに関するルールがないと検知できない。そして、異常な振る舞いを全てルール化することは現実的に不可能だ。

これに対し、UEBAは、通常の振る舞いを定義し、その定義したモデルとの差異を異常な振る舞いと認識する。このため、ルールベースと比較して検知範囲は広く、しかもルールを作成する手間が不要というメリットがある。

また、従来の行動分析との違いは、従来の手法がユーザーの行動から脅威を識別し、企業のネットワークへの不正アクセスなどを特定するのに対し、UEBAは、ユーザーの行動だけでなく機器の振る舞いも含めた膨大な収集データを分析対象とし、機械学習も組み合わせて解析することで、リスクの検知をより正確に、より対象を広くできる点だ。

こうした点から、内部不正だけでなく標的型攻撃の検知、影響範囲の確認などの迅速化といった効果が期待されている。

セキュリティ用語辞典一覧ページへ

関連キーワード:

IoT

SIEM

サイバー攻撃

サーバー

セキュリティ

セキュリティインシデント

ネットワーク

マルウェア

リスク

不正アクセス

情報漏洩

標的型攻撃

脅威