盗まれたIDでのログインは従来の防御では防げない。正規ユーザーを装う攻撃者や、悪意ある内部者の不自然な振る舞いを検知する「UEBA」が、今なぜ情シスに必要なのか。
ユーザーとエンティティ行動分析(UEBA:User and Entity Behavior Analytics)はエンドユーザーの行動を分析、評価することで、攻撃者の不審な行動を特定し、認証といったセキュリティ対策を回避するのを阻止するツールだ。UEBAを利用すれば、企業に潜むリスクを発見してセキュリティの強化につなげられる。
UEBAの分析対象になるのは、従業員のアカウント(ユーザー)や、ハードウェアやソフトウェア(エンティティ)だ。例えば、UEBAはあるアカウントが突然大量のデータをダウンロードしたり、ネットワーク機器が通常接続しないサーバにアクセスを要求したりすることを「異常」と判断し、アラートを発する。
セキュリティの死角を突き、システム内を自由に動き回る攻撃者や、機密を狙う内部不正者が、企業の資産を密かに浸食している。企業はUEBAをどのようなシーンで利用すれば、防御力を高められるのか。情報システム(情シス)担当が知っておきたい、UEBAの「できること」を見てみよう。
企業のセキュリティにおいてUEBAは重要な役割を果たす。以下でUEBAの主なユースケースを紹介する。
UEBAはログデータを分析し、通常接続しないシステム間の通信を特定する。こうした通信は、攻撃者がシステムに入り込み、横方向の攻撃を実行しようとしている可能性を示唆する。
UEBAは通常と違う行動を示すアカウントを特定し、管理者に警告するとともに、自動的に疑わしい活動をブロックする。これは、アカウントの資格情報が侵害され、第三者がアカウントを使用してシステムの脆弱(ぜいじゃく)性を把握したり、機密データを持ち出そうとしたりする可能性を示す。
ユーザーとエンティティの行動分析によって、通常より高い権限を使用しているアカウントや、通常アクセスしないシステムにアクセスしようとしている活動を特定できる。これらのことは、内部の人がアクセス権を悪用している証拠となる可能性がある。
UEBAは、システム管理者アカウントが大量に作成されたり、既存のアカウントが特定のアクセス権を失ったりするといった異常なアカウント管理活動を検出する。これは、悪意のある人が不正な操作をするためにローカルアカウントを設定している可能性を示す。
UEBAは、ユーザーが自分のアカウントの資格情報を他の人に共有していることを検出する。アカウントの共有は攻撃の温床になるとみられる。
企業がさまざまなタスクを自律的に実行するAI(人工知能)エージェントを導入している場合、UEBAはさらに重要になる。UEBAはAIエージェントの行動を可視化し、規定されたルールの範囲内で活動しているかどうかを確認する。内部者や外部者がAIツールを悪用し、組織に対して武器化する可能性があるため、UEBAはその防御策になる。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
