UEBAとは、「User and Entity Behavior Analytics」の略称で、その名の通り、ユーザーとサーバーやルーターなどのエンティティの行動を分析し、異常な行動を検出するセキュリティツールです。
2015年にGartner社によって定義されました。
主な機能
データ分析と機械学習を通じて、サーバーやルーター、IoTデバイス、ファイアウォール、アプリケーションなどのログを監視し、ユーザーの通常の行動パターンを分析します。その行動パターンをベースラインとし、ベースラインと比べて逸脱した行動を検知すると管理者にアラートが通知されます。
例えば、会社で使用しているクラウドサービスから、従業員が個人で利用するクラウドサービスに大量のデータがアップロードされた場合、異常な行動として検知します。
メリット
・様々なサイバー攻撃の検知:標的型攻撃やアカウントの侵害、ブルートフォース攻撃、ゼロデイ攻撃など、未知の攻撃についても自動的に検出が可能となります。
・内部脅威の早期発見:通常の業務パターンから逸脱した異常な行動を検知することで、内部の不正行為や操作ミスによるリスクを軽減し、内部の脅威を迅速に特定することが可能になります。
・運用負荷の軽減:高度なデータ分析と機械学習を活用し、リアルタイムでの検知を行い、危険性の高い脅威をアラート通知するため、監視の負荷を軽減し、対応の迅速化にもつながります。
・他のセキュリティツールとの連携で包括的な対策の実現:マイクロセグメンテーションやSIEMなどのツールとの連携を行うことでより包括的にセキュリティを強化し、運用効率を上げます。
デメリット
導入初期にかかる費用が高く、機械学習の効果を発揮するまでにデータの収集など準備期間が必要となります。
そのため、導入前に計画や準備を進めておくことが推奨されます。