UEBAとは何か

UEBAは「User and Entity Behavior Analytics（ユーザとエンティティの行動分析）」の略で、機械学習とディープラーニングを利用して社内ネットワーク上のユーザやその他のエンティティの通常の行動を学習し、異常行動を検知し、その行動にセキュリティ上の影響があるかどうかを推定する、新しい分野のセキュリティソリューションです。

相互関連付けルールや既知の攻撃パターンに基づく従来型のセキュリティツールと異なり、UEBAはノイズに紛れた新しいタイプの攻撃やインシデントを特定できます。これには、ゼロデイ攻撃や内部不正が含まれます。

UBAは何の略か

UEBAが何の略か説明したところで、UBAを定義しましょう。UBAは、User Behavior Analytics（ユーザ行動分析）の略で、UEBAに似ていますが「E」がありません。

UBAとは何か

UBA（User Behavior Analytics）は、2014年にガートナー社が造語した、UEBAカテゴリの旧称です。以前の定義では、UBAツールは個人ユーザやユーザのグループの行動のみに対して分析をしていました。

2015年に、ガートナー社は定義を改訂して「E」を入れ、カテゴリの名前をUEBA（User and Entity Behavior Analytics：ユーザとエンティティの行動分析）に変更しました。この広くなった定義では、UEBAツールはルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えています。

UEBAとUBAの違いとは？

UBAは個々のユーザの行動に注目しますが、UEBAは企業ネットワーク上で動作する新しいエンティティや多様なエンティティも分析できます。さらに、既存の内部不正に加え、外的脅威からも保護します。

UEBAとSIEMの違いとは？

SIEM（Security Information and Event Management）システムは、セキュリティオペレーションセンター（SOC）の重要なインフラです。SIEMは多くのエンタープライズシステムやその他のセキュリティツールと連動して企業全体のセキュリティログとイベントをすべて収集し、これらのイベントを分析して、セキュリティチーム向けのアラートを生成します。

UEBAはSIEMと深く関連しています。それは、多くの機能が共通しているためです。どちらも企業ネットワークからイベントを収集し、分析してアラートを生成します。しかし、UEBAソリューションが分析面に注力するのに対して、SIEMシステムは非常に幅広いセキュリティデータの扱いに長け、セキュリティアナリスト向けにデータを整理します。これによりSOCでは、系統立てた処理が可能になります。

次世代SIEM（UEBA搭載）とは何か

2017年に、ガートナー社は、SIEMプラットフォームにいくつかの高度な機能を組み込むべきであると提案しました。その1つがUEBAです。具体的には、ガートナー社はSIEMプラットフォームにUEBAソリューションを組み込んでセットで提供するように、ベンダー各社に呼びかけました。ガートナー社が直接「次世代SIEM」について言及しているわけではありませんが、同社の文書には、次世代SIEMに搭載するべき機能の概要が記載されています。この呼びかけに従ったベンダーの1社がExabeamです。これは、UEBA機能とセキュリティ自動化機能が搭載された次世代SIEMです。

UEBAはインシデントレスポンスにどのように役立つか

UEBAは、現代のインシデントレスポンスにおける重要な要素です。過去には、セキュリティアナリストは大量のアラートをより分けて「本物の」セキュリティインシデントを発見し、それからさらに追加のエビデンスを調べ、何が起こったかを明らかにしていました。

UEBAはこのプロセスの大部分を自動化します。具体的には、セキュリティ上、特に重要性のあるイベントを特定し、同じセキュリティインシデントの一部を構成している可能性がある関連イベントをまとめます。こうして、UEBAは組織がより迅速に正確なインシデントレスポンスを実行できるように支援し、セキュリティアナリストの貴重な時間も節約することができます。

UEBAシステムのコンポーネント

上位のUEBAユースケース