UEBA(User and Entity Behavior Analytics)を大解体!

Log360 | June 13, 2022 | 1 min read

Reading Time: 1 minutes

そもそもUEBAとは?

UEBA(User and Entity Behavior Analytics)は、機械学習(ML)アルゴリズムを利用して、企業ネットワークに属するユーザーやエンティティの行動の異常を検出する、比較的新しいカテゴリーのサイバーセキュリティツールです。UEBAは、ネットワーク上のさまざまなユーザーアカウントやデバイスの行動を監視し、継続的に学習することで、統計的・確率的モデルを用いてそれぞれの行動の基本プロファイルを作り上げます。その後、ユーザーやエンティティが行った行動をベースラインと比較し、正常か異常かを判断する、という仕組みです。異常が検出されると、該当するエンティティのリスクスコアが引き上げられ、脅威が発生していることを管理者に知らせます。

UEBAは、「IDは偽造できるが、行動は偽造できない」という前提のもとで機能しています。

UEBAに関する詳細を解説する前に、用語について説明します。

ベースライン

あるエンティティの典型的な(あるいは安全性の高い)行動パターン。モニタリング中にエンティティが示す日常的な動作傾向に基づいて生成されるもの。

リスクスコア

0~100の数字で、ユーザーやエンティティが見せる異常行動の頻度や重要度を示す指標となる。

SIEM(Security Information and Event Management)

セキュリティログを監視・分析することで、組織のセキュリティ状況を総合的にリアルタイムで把握することができる機能概念。

アノマリー

基準値からの逸脱を「アノマリー(異常)」と呼ぶ。UEBAでは、大きく分けて3つのタイプの異常を検知する。

*タイムアノマリー

通常営業時間外にサインインするなど、異常な時間帯にユーザーアカウントやエンティティにアクセスした場合。

*パターン・アノマリー

ユーザーアカウントやエンティティへのアクセスが、何度か失敗した後にログインに成功するなど、通常と異なる方法で行われた場合。

*カウントアノマリー

例えば、通常は1、2回しかアクセスされないデータベースが、短期間に数百回アクセスされるような場合。

UEBAは監視し、学習する

UEBAは、ネットワークに属するユーザーやエンティティの行動を細かく監視し、その行動パターンを学習していきます。UEBAは、SIEMソリューションと連携し、アクティビティログを利用してエンティティの正常な振る舞いを把握することができます。

リスクが高いかどうかはUEBAが判断

次の図は、ABC社でマーケティング・インターンとして働くジョージ・ラングドンの一日の仕事の様子を描いたものです。

ジョージさんのABC社での一日

前述のように、予想される行動からの逸脱がある場合、そのエンティティのリスクスコアは高くなります。例えば、ジョージのシステムが午後4時を過ぎてもアクティブになっているとしましょう。これは、ジョージのコンピュータに不正にアクセスした侵入者の可能性もありますが、ジョージ自身が仕事を完了するために長時間働いている可能性も否定できません。もし後者の場合、仮にありえない時間にシステムにアクセスしていたとしても、リスクスコアを引き上げて警報を鳴らしてしまうと、誤報となります。

このような事態を防ぐべく、UEBAはシームレスな進化を遂げています。UEBAが学習し、正常とみなされる行動を修正することができるのです。この場合、UEBAはまずジョージのリスクスコアを上げつつ、彼のログをチェックし続けます。そして、長時間労働が日常化(労働基準法的にはよくないですが..)するにつれて、UEBAはそのパターンを認識し、順次リスクスコアを引き下げていくという仕組みとなっています。

高度な分析:UEBAを支える知能

UEBAの絶え間ない進歩は、SupervisedとUnsupervisedの両方の機械学習(以下、ML)によって実現されます。Supervised MLでは、システムは望ましい行動と望ましくない行動のセットが提供されます。UEBAが望ましくない行動を検出した場合、リスクスコアを引き上げるという仕組みです。UEBAのUnsupervised MLは、より高度なバージョンであり、典型的な行動と異常な行動を独自に識別します。UEBAでは、ロバスト主成分分析(RPCA)とマルコフ連鎖という2つの統計モデルを用いて、ある行動が正常かどうかを判断します。

RPCA

RPCAは、広く用いられている主成分分析(PCA)手法のバリエーションの一つです。直交変換を利用して、相関のある変数(データポイント)の観測値の集合を、主成分と呼ばれる線形に相関のない変数に変換する統計手順です。主成分の集合に対して最適な直線を設定し、この最適な直線から外れたデータ点を異常と呼びます。

RPCA

RPCAは、データ点の集合に対して「最適な直線」の方向を求めるもの

マルコフ連鎖

マルコフ連鎖とは、確率的な事象の連続であり、連鎖内の次の事象の確率が現在の事象の状態にのみ依存するものと定義されるものです。イベントの連続的な発生状態を決定することにより、リストが作成さ れます。さらに、各イベントが展開されると、予測されたイベントのシーケンスと比較され、もしイベントから逸脱しているものがあれば、それを修正し、さらに予測されたイベントのシーケンスと比較されます。もし、ある事象が予測される事象のリストから外れた場合、それは異常とみなされ、対応するエンティティのリスクスコアが引き上げられます。

マルコフ過程

3-state Markov Process(マルコフ過程)

UEBAのよって、ブルートフォース攻撃、内部脅威、水平展開、ハッキングなど、無数のサイバー攻撃から身を守ることができます。UEBAがどのように企業を守るかについては、前回の記事「会社を守る脅威インテリジェンス「UEBA(User and Entity Behavior Analyics)」とは?」をご覧ください。

巧妙化するサイバー脅威に対抗「UEBA」とは?

【連載】UEBAで脅威と戦う

UEBAの関連記事


Tags : セキュリティ
Kenta

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。