企業におけるUEBA導入メリットとは

企業におけるUEBA導入メリットとは

CISO事業部　片岡 ゆりあ

要旨 

近年企業が直面する脅威が多様化・高度化する中で、ゼロデイ攻撃や内部不正といった従来のセキュリティ対策では防ぎにくい脅威も出てきています。そのような脅威に対応するためのソリューションの一例として、UEBAがあります。UEBAはユーザとエンティティ（機器・ソフトウェアなど）の振る舞いを監視することで、内部不正などの従来検知が難しかった異常を検知するソリューションです。弊社ではUEBAの導入・運用支援を提供しています。

はじめに

近年では従来のセキュリティ対策では防ぎにくい脅威が問題になっています。例えば、社員が正規のアクセス権限に基づいて企業内の情報を持ち出す内部不正は従来のファイアウォールなどを中心とした境界型の防御では防ぎにくく、検知が難しい脅威です。このような脅威を迅速に検知して対処するにはどうすればよいのでしょうか。1つのソリューションとしてUEBA（User and Entity Behavior Analytics）があります。UEBAは、インシデントが発生する際に通常とは異なったユーザやエンティティ（機器やソフトウェア）の振る舞いが観察されることに着目した異常検知ソリューションです。当記事では、UEBAの概要と提供する価値を概説した上で、弊社のUEBA実装・運用支援についてご紹介します。

UEBAとは

UEBAとはユーザやエンティティ（機器やソフトウェアなど）の普段の振る舞いを分析し、普段と異なる挙動が観測された場合に管理者へ警告することで不正な活動の発見を可能にするシステムです。[1] 従来の振る舞い検知システムであるUser Behavior Analytics （UBA）の監視対象がユーザのみであったのに対し、UBEAの監視対象はユーザだけでなくエンティティも含みます。
UEBAは機械学習などによってユーザとエンティティの正常な行動を学習し、正常な行動から外れた行動を検知した場合にリスクスコアの算出とアラートを行います。例えば、これまではビジネスアワーに日本国内の他システムへデータ送信を行っていた機器が、突然午前3時に南アフリカのIPアドレスに対して大量のデータ送信を行った場合、UEBAによるアラートが発出されます。
このような機能により、UEBAソリューションは従来のパターンマッチング型のセキュリティツールでは検知が難しかったゼロデイ攻撃や内部不正などの脅威の検知が可能にします。[2] 検知とアラートというキーワードをみると、SIEM（Security Information and Event Management）と似た機能のように思えます。
しかし、UEBAとSIEMは代替的なソリューションではなく、補完的な関係にあります。SIEMは複数のシステムのログを統一的に管理し、セキュリティアナリストがイベント分析とマネジメントを行うことを支援します。しかし、SIEMは基本的にはルールベースのイベント検知を行うため、[3]内部不正やゼロデイ攻撃などの未知の脅威を見落とす可能性があります。UEBAをSIEMと連携させることで、より包括的なイベント管理が可能になります。[4]。

UEBAが解決する課題

次に、近年話題になっている脅威事例2件を題材に、UEBAがどのような価値をもたらすのか紹介します。

①内部脅威

例えば従業員が正当なアクセス権に基づいて企業の機密情報へのアクセスとダウンロードを行う場合、従来型のルールベースのソリューションで検知することは困難です。例えば、米国の自動運転車開発企業であるWaymoの従業員であったAnthony Levandowski氏は、2016年に同社を退職する直前に、同社の社外秘の知的財産が格納されているサーバーに接続し、約1万4,000点のファイルを取得しました。[5]　

 UEBAが導入されていれば、正常な範囲から逸脱した大量のファイルのダウンロードというユーザの振る舞いを検知し、即座にアラートを発出できます。また、製品によっては異常行動の結果として予期されるリスクのレベルを算出し、緊急度の高いリスクへの優先的な対応を実現します。[6]

②ランサムウェア攻撃による金銭被害

近年多くの事例が報道されているランサムウェア攻撃も、UEBAによって被害を軽減することが可能です。警察庁の統計によると、ランサムウェア攻撃被害件数は増加傾向であり、2022年は過去最多の230件を記録しています。また、身代金以外にランサムウェア被害に関して要した調査や普及費用の総額について、回答者の46%が1000万円以上の費用を要したと回答していることからも、ランサムウェアへの対応は重要だと言えます。 [7]

ランサムウェア攻撃は、複数の段階から成っており、その初期段階で通常より高頻度のファイルアクセスや外部から持ち込まれたファイルの実行などが発生します。[8] UEBAはこのような異常を検知し、セキュリティアナリストが早期に攻撃を止める手立てを実行することを可能にします。

図１. 企業・団体等におけるランサムウェア被害の被害件数の推移
警察庁広報資料「令和４年におけるサイバー空間をめぐる脅威の情勢等について」を基に作成

弊社によるUEBAソリューション導入・運用支援

ここまで紹介したように、UEBAは従来の対策では防ぎにくい脅威や最新の脅威への対応を可能にします。また、社会的にセキュリティ人材が不足している中で、異常検知と対応優先順位付けを自動化するUEBAは、企業が限られた人材でセキュリティ水準を維持する強い味方になります。

 一方で、UEBAの導入やセットアップには、知見のあるエンジニアが必要になります。弊社は、Exabeam社の振る舞い分析機能を有するSIEMソリューションの導入と運用支援を提供しています。Exabeam社のソリューションは国内大手SIerなどでも導入実績があり、市場で高く評価されている製品です。弊社は、単にExabeam社のソリューションを提供するだけではなく、クライアントの環境とニーズを踏まえた動作設定や、運用開始後のチューニングやクライアント担当者へのトレーニング実施など幅広い支援を提供しています。

 Digital Arts Consultingの振る舞い分析（Exabeam）の導入・活用支援サービス：振る舞い分析（Exabeam）の導入・活用支援サービス│セキュリティソリューション導入支援│CISOサービス｜サービス一覧｜DX戦略・セキュリティコンサルのアイディルートコンサルティング株式会社

  本記事では、企業におけるセキュリティ対策として、UEBAをご紹介しました。現代のサイバー攻撃は高度化し、その被害件数も増加しています。IT人材不足が叫ばれるなか、企業も変化に応じセキュリティ対策を更新していく必要があります。ソリューションのひとつであるUEBAは少ない人材でのセキュリティ水準の向上を実現しますが、導入やセットアップには知見のあるエンジニアが必要です。弊社はUEBAを活用したソリューションであるExabeamの導入から運用まで支援しています。

【プロフィール】

片岡 ゆりあ（かたおか ゆりあ） 

2023年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に新卒で入社。 
外資系ラグジュアリー企業のセキュリティ構築支援をはじめとしたグローバル案件に携わる。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】 

*1：IT用語辞典. "UEBAとは" January 4, 2023. https://e-words.jp/w/UEBA.html

*2：Orion, MACNICA. "UEBAは何の略か（5分で読めるUEBA入門付き）"　https://www.macnica.co.jp/business/security/manufacturers/exabeam/feature_09.html

*3："What Is User Entity and Behavior Analytics (UEBA)?" Fortinet. Accessed July 29, 2023. https://www.fortinet.com/resources/cyberglossary/what-is-ueba.

*4："UEBAとは？その仕組みとSIEMとの違い: Proofpoint JP." Proofpoint, July 7, 2023. https://www.proofpoint.com/jp/threat-reference/user-entity-behavior-analytics-ueba.

*5：Gonzalez, Cynthia. "内部脅威の例：3つの著名事例と4つの予防策." Exabeam, March 18, 2022. https://www.exabeam.com/ja/ueba-ja/insider-threat-examples/.

*6："UEBAは何の略か（5分で読めるUEBA入門付き） - セキュリティ事業 - マクニカ." 株式会社マクニカ. Accessed July 29, 2023. https://www.macnica.co.jp/business/security/manufacturers/exabeam/feature_09.html.

*7：警察庁. "令和4年におけるサイバー空間をめぐる脅威の情勢等について" March 16, 2023. https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

*8：Kenta. "会社を守る脅威インテリジェンスUEBAとは？." ManageEngine ブログ, July 15, 2022. https://blogs.manageengine.jp/idm-ueba-the-intelligent-guardian-of-your-business/.