1分で分かるかも?「UEBA」~内部不正を見つけるソリューション~

  • IoT
  • 2020.04.16
  • 松尾

前回「SASE」についてのブログを書きましたが、SASEにはさまざまな機能が含まれています。今回はその機能の一つであるUEBA(ユー・イー・ビー・エー)について書きたいと思います。


UEBAとはUser and Entity Behavior Analyticsの略。UEBAというキーワードが出てくる前はUBA(User Behavior Analytics)と言われることが多くありました。つまり人(User)の行動(Behavior)を解析(Analytics)することによって、その人が通常とらないような異常な行動をあぶりだすというソリューションなんです。


Entityは後からつけられた単語であるのですが、人だけではなく物が自発的に動く(IoTなど)場合もあるためEntityという単語が追加されたように思います。しかしながら、元々根底にあったコンセプトとしてはユーザーを中心として評価をしていくというものであり、アイデンティーティセントリックであるSASEに繋がる部分があります。


UEBAの特徴は以下のように内部脅威であろうが外部脅威であろうが関係なしに特定のユーザーを起点としてそのユーザーが普段とっている行動と違う動きをあぶりだしてリスクを評価するというところにあると思います。

UEBA

では、UEBAはどのようなデータを分析しているのかというと大きく分けて2パターン存在します。
一つはFW*1、Proxy、EDR*2、AV*3など既存のセキュリティー製品のログを収集するもの、もう一つはパケットキャプチャーにより分析するものです。前者の場合は次世代SIEM(NG-SIEM)として語られる場合もありますし、後者の場合はNTA(Network Traffic Analysis)として語られる場合もあります。


いずれにしてもUEBAである所以はそれがユーザー中心で考えられているかどうかであり、そのユーザーはどこにアクセスをしているか、何を実行したか、どのくらいのデータ量をやりとりしているか、いつアクセスしていることが多いかといった情報を定常的に分析を行うことによって外部脅威だけではなく内部脅威まで見つけ出すことができるということが重要な要素であると考えます。


*1 FW :Firewallの略
*2 EDR:Endpoint Detection and Responseの略
*3 AV :Antivirusの略

おすすめ記事

識者が語る
クラウド時代のセキュリティBCP

ANNEX_NICT_top01_sonoda_sama

すぐにできる!
リモートアクセス環境

ANNEX-Service-Okta

世界最先端のIT国家、エストニア
【第四回】医療データ連携を支える透明性

ANNEX_estonia-ambulanceb