1分で分かるかも？「UEBA」～内部不正を見つけるソリューション～

前回「SASE」についてのブログを書きましたが、SASEにはさまざまな機能が含まれています。今回はその機能の一つであるUEBA(ユー・イー・ビー・エー)について書きたいと思います。

UEBAとはUser and Entity Behavior Analyticsの略。UEBAというキーワードが出てくる前はUBA（User Behavior Analytics）と言われることが多くありました。つまり人（User）の行動（Behavior）を解析（Analytics）することによって、その人が通常とらないような異常な行動をあぶりだすというソリューションなんです。

Entityは後からつけられた単語であるのですが、人だけではなく物が自発的に動く（IoTなど）場合もあるためEntityという単語が追加されたように思います。しかしながら、元々根底にあったコンセプトとしてはユーザーを中心として評価をしていくというものであり、アイデンティーティセントリックであるSASEに繋がる部分があります。

UEBAの特徴は以下のように内部脅威であろうが外部脅威であろうが関係なしに特定のユーザーを起点としてそのユーザーが普段とっている行動と違う動きをあぶりだしてリスクを評価するというところにあると思います。

では、UEBAはどのようなデータを分析しているのかというと大きく分けて2パターン存在します。
一つはFW^*1、Proxy、EDR^*2、AV^*3など既存のセキュリティー製品のログを収集するもの、もう一つはパケットキャプチャーにより分析するものです。前者の場合は次世代SIEM（NG-SIEM）として語られる場合もありますし、後者の場合はNTA（Network Traffic Analysis）として語られる場合もあります。

いずれにしてもUEBAである所以はそれがユーザー中心で考えられているかどうかであり、そのユーザーはどこにアクセスをしているか、何を実行したか、どのくらいのデータ量をやりとりしているか、いつアクセスしていることが多いかといった情報を定常的に分析を行うことによって外部脅威だけではなく内部脅威まで見つけ出すことができるということが重要な要素であると考えます。

*1　FW ：Firewallの略
*2　EDR：Endpoint Detection and Responseの略
*3　AV ：Antivirusの略