最近話題のセキュリティ技術である「UEBA」ですが、その意味をご存知ですか?
UEBAは、日々サイバー攻撃が高度化していく中で、企業に必要なセキュリティ対策として注目が高まっています。
この記事で「なんか最近トレンドのセキュリティの用語だよね」レベルの知識から、その定義、必要性まで解説できるようになりましょう。
UEBAとは?
UEBAとは、「User and Entity Behavior Analytics」の略で、ユーザ及び周辺機器の行動を継続的に学習し分析することで、不正な行動、リスクを早期に検知する技術のことです。
UBA(User Behavior Analytics)とよく間違われますが、分析対象はユーザだけではなく、IPアドレスなどが付与されたサーバなどの機器(Entity)も対象であるべきという観点から、E(Entity)も足されたのがUEBAになります。
UEBAの特徴、仕組みとは?
UEBAの特徴は、内部、外部脅威問わず、特定のユーザー、機器を起点としてユーザーが普段とっている行動と違う動きをあぶり出し、リスクを評価するというところにあります。
分析、リスク評価の結果はダッシュボードでグラフィック的に一覧表示されるため、セキュリティ担当者の運用負担も軽減させることができます。
UEBAの分析対象は、主に以下のようなログになります。
・エンドポイントやネットワークのセキュリティ機器のログ
・Active Directory等の認証系のログ
・Webプロキシのログ
・ネットワークのトラフィック状況のログ
このような複数のログを統合分析することで、アカウントの不正利用やデータ・情報の漏洩といった不審な行動を可視化します。
UEBAとSIEMの違いは?
UEBAと同じ文脈で出てくるセキュリティ用語に、SIEMがあります。
SIEMとは、「Security Information and Event Management」の略で、ネットワーク内のさまざまなセキュリティ/ネットワーク機器のログを収集して一元管理する「統合ログ管理」の技術です。
これだけだと「SIEMもUEBAもログの分析・管理で一緒じゃん!」と思えますよね。
ざっくり言うと、UEBAはSIEMと比べて「より行動分析に特化したもの」と思ってもらえればいいかと思います。
SIEMにもログ分析の機能はもちろんありましたが、振る舞い解析は含まれていなかったため、脅威をリアルタイムで監視することはできませんでした。その課題に対して生まれたのがUEBAです。
そのため、最近では従来のSIEMにUEBAを追加することで、より高度な分析を可能になるとして、SIEM+UEBAで「次世代SIEM」と呼ばれることもあります。
SIEMについては、こちらの記事で詳しく解説しているので、合わせて読んでみてください。
なぜ今UEBAが必要なのか?
UEBAが高度な行動分析ができるということまではわかりましたが、ではなぜ今それが必要なのでしょうか?一言で言うと、「攻撃者の手法が高度化しているから」です。
以前と比べ、攻撃者の手法は「さらに早く」「さらに複雑」になってきています。
そこで、異常を「リアルタイム」に検知でき、ユーザー、機器のログを統合的に行動分析することで「複雑な侵入ルートでも検知できる」UEBAが必要になってきているのです。
おわりに
いかがだったでしょうか。
UEBAは比較的最近出始めた技術ですが、次世代SIEMの技術として大変注目されています。
今後さらに普及していくことが予想されますので、ぜひ押さえておきましょう。
コメント