1. トップ
  2. コラム
  3. IT SECURITY ANNEX
  4. 1分で分かるかも?「UEBA」

1分で分かるかも?「UEBA」

~内部不正を見つけるソリューション~

  • セキュリティーブログ

2020年04月16日

  • 振る舞い検知

前回「SASE」についてのブログを書きましたが、SASEにはさまざまな機能が含まれています。今回はその機能の一つであるUEBA(ユー・イー・ビー・エー)について書きたいと思います。

UEBAとはUser and Entity Behavior Analyticsの略。UEBAというキーワードが出てくる前はUBA(User Behavior Analytics)と言われることが多くありました。つまり人(User)の行動(Behavior)を解析(Analytics)することによって、その人が通常とらないような異常な行動をあぶりだすというソリューションなんです。

Entityは後からつけられた単語であるのですが、人だけではなく物が自発的に動く(IoTなど)場合もあるためEntityという単語が追加されたように思います。しかしながら、元々根底にあったコンセプトとしてはユーザーを中心として評価をしていくというものであり、アイデンティーティセントリックであるSASEに繋がる部分があります。

UEBAの特徴は以下のように内部脅威であろうが外部脅威であろうが関係なしに特定のユーザーを起点としてそのユーザーが普段とっている行動と違う動きをあぶりだしてリスクを評価するというところにあると思います。

UEBA

では、UEBAはどのようなデータを分析しているのかというと大きく分けて2パターン存在します。
一つはFW※1、Proxy、EDR※2、AV※3など既存のセキュリティー製品のログを収集するもの、もう一つはパケットキャプチャーにより分析するものです。前者の場合は次世代SIEM(NG-SIEM)として語られる場合もありますし、後者の場合はNTA(Network Traffic Analysis)として語られる場合もあります。

いずれにしてもUEBAである所以はそれがユーザー中心で考えられているかどうかであり、そのユーザーはどこにアクセスをしているか、何を実行したか、どのくらいのデータ量をやりとりしているか、いつアクセスしていることが多いかといった情報を定常的に分析を行うことによって外部脅威だけではなく内部脅威まで見つけ出すことができるということが重要な要素であると考えます。

  • ※1FW :Firewallの略
  • ※2EDR:Endpoint Detection and Responseの略
  • ※3AV:Antivirusの略

1分でふんわり分かるかも?分分(ふんわか)シリーズ!

松尾

IT SECURITY ANNEX

関連情報

関連コラム

識者が語るクラウド時代の「セキュリティBCP」
昨今のセキュリティインシデント事情と企業・組織が取り組むべきセキュリティBCPのあり方や注目を集める同センターの取り組みについてNICTセンター長である園田道夫氏にお話を伺いました。
すぐにできる!リモートアクセス環境
テレワークの環境を作るためにリモートアクセス環境を準備する必要がありますが、従来型のVPNアプライアンスを購入し、グローバルIPアドレスを準備して構築する方法では、機器の調達に時間を要します。そこでクラウドサービスをベースとしたリモートアクセスサービスがあらためて注目されています。弊社ではZscalerとOktaを取り扱っているのでそれらを利用した仕組みをご紹介します。
世界最先端のIT国家、エストニアを知っていますか
【第4回】医療データ連携を支える透明性
世界最先端といえる電子政府を実現し、ほとんどのサービスがオンラインで完結する国があります。バルト三国で最も小さい国、人口約130万人のエストニアです。そのIT活用方法は世界中から注目を集めています。今回はヘルスケア分野でのデジタル化について紹介します。

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。

お問い合わせ
TOPに戻る