防御と運用
UBA(ユーザー行動分析)
定義
ユーザーの通常活動のベースラインを構築し、その逸脱を検知することで、アカウント不正利用、内部脅威、認証情報の窃取を見つけ出す分析技術。
User Behavior Analytics(UBA)は、認証ログ、アプリケーションログ、アクセスログを処理して、ログイン時刻・場所、利用アプリ、ファイルアクセス量などのユーザーごとの通常パターンをモデル化し、統計および機械学習を用いて逸脱をリスクとしてスコアリングします。UBA は、シグネチャ型防御を回避する脅威——認証情報窃取、内部不正によるデータ持ち出し、アカウント乗っ取り、スロー&ローの横展開——に特に有効です。多くの場合 SIEM やアイデンティティ基盤のモジュールとして提供され、SOC に優先度付きアラートを送ります。最新の導入では、非人間アカウントやデバイスにも対象を広げた UEBA として展開されます。
例
- 深夜 2 時に海外 IP から SharePoint で 50 GB をダウンロードした財務部門ユーザーを UBA モジュールがフラグする。
- ログイン挙動がユーザーのベースラインから逸脱した際に、リスクベース認証が追加 MFA を要求する。
関連用語
UEBA(ユーザー・エンティティ行動分析)
ユーザーやエンティティの正常な行動をベースライン化し、侵害や内部不正を示唆する統計的な逸脱を検出するセキュリティ分析手法。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
行動的生体認証
打鍵リズム・マウス操作・歩行・タッチ操作などのユーザー固有の振る舞いをプロファイル化し、なりすましを検知する継続認証技術。
Indicator of Attack (IoA)
Indicator of Attack (IoA) — definition coming soon.
Threat Hunting
Threat Hunting — definition coming soon.
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。