防御と運用
UEBA(ユーザー・エンティティ行動分析)
定義
ユーザーやエンティティの正常な行動をベースライン化し、侵害や内部不正を示唆する統計的な逸脱を検出するセキュリティ分析手法。
UEBA は従来の UBA を拡張し、サーバー、サービスアカウント、IoT デバイス、アプリケーションといった非人間のエンティティについてもベースラインを構築します。プラットフォームは認証ログ、EDR テレメトリ、ネットワークフロー、SaaS イベントを取り込み、統計と機械学習を用いて各アイデンティティの「正常」を学習します。あり得ない場所からの同時ログイン、突発的な権限利用、異常なデータ持ち出しといった逸脱はリスクスコアとして算出され、SIEM や SOAR に連携されます。シグネチャ型では見落としがちな認証情報盗用、内部脅威、長期にわたる潜伏型攻撃の検知に有効です。
例
- 経理ユーザーが深夜 3 時に未知の国から数千件のレコードをダウンロードし、高いリスクスコアが付与される。
- 通常は単一データベースにしか書き込まないサービスアカウントが Active Directory の列挙を開始し、自動的に無効化される。
関連用語
UBA(ユーザー行動分析)
ユーザーの通常活動のベースラインを構築し、その逸脱を検知することで、アカウント不正利用、内部脅威、認証情報の窃取を見つけ出す分析技術。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
行動的生体認証
打鍵リズム・マウス操作・歩行・タッチ操作などのユーザー固有の振る舞いをプロファイル化し、なりすましを検知する継続認証技術。
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。