UBAはどのように運営されていますか?
ユーザー行動分析(UBA)は、ユーザー・エンティティ行動分析(UEBA)とも呼ばれます。UEBAのアーキテクチャ全体において、機械学習は重要な役割を果たします。
機械学習(ML)を活用することで、各ユーザーの通常の行動を定義し、測定することができます。行動測定の手順は、各ユーザーの過去の活動履歴に基づいています。
これらの活動履歴は、ユーザーの他のピアグループと比較され、すべてが一定のパターンに従っていることを確認します。
システムが異常な活動を検出した場合、スコアリングメカニズムを通じて集計され、各ユーザーにリスクスコアが付与されます。
前回のブログでは、市場で入手可能な優れたUEBAツールについていくつかご紹介しました。今回のブログでは、UEBAの応用を理解するために、UEBAの主要なユースケースをいくつか見ていきます。
ユーザー行動分析の4つのユースケース
Forcepoint – 米国の主要防衛請負業者
Forcepointは、テキサス州オースティンに本社を置く、著名なサイバーセキュリティ企業です。同社は現在、ユーザー行動分析(UEBA)分野における主要なソリューションプロバイダーの一つとしての地位を確立しています。
同社は、資産およびリソースのセキュリティ確保という課題に直面していた、米国の主要な防衛請負業者に対し、支援を提供しました。
これに加え、当該の防衛請負業者は、オフィス内のIPアドレスのセキュリティ強化も求めていました。また、同業者は米国国防総省(ペンタゴン)とも連携しており、クラウドベースの技術利用が拡大する中で、新たな課題に直面していました。
Forcepointは、この課題を自社のソリューションを実証する絶好の機会と捉えました。
同社は当該業者に対し、以下の項目を含む複数のソリューションを提供しました。
- メールおよびWebセキュリティ、
- データ損失防止(DLP)、
- Force Insider Threat(FIT)、
- Forcepoint Behavior Analytics(FBA)、
- および次世代ファイアウォール(NGFW)。
ForcepointのDLPソリューションは、組織内のユーザー行動を継続的に監視・分析し、差し迫った脅威を検知した場合には即座にアラートを発します。
その結果は、当該の防衛請負業者にとって極めて大きな成果をもたらすものでした。4万人を超える従業員が、セキュリティ上の脅威を懸念することなく、安全に業務を継続できる環境が実現したのです。
Arubaは、Hewlett Packard Enterprise(HPE)傘下の企業です。同社は、UEBA(ユーザーおよびエンティティ行動分析)ソリューションの提供において高い専門性を有しています。
Maxedaは、実店舗とオンラインという両方のチャネルにおいて、シームレスな「モバイル・リテール体験」を創出できるソリューションを求めていました。また、自社の各種サービスを支える基盤(プラットフォーム)として機能するWi-Fi環境の導入も希望していました。
さらにMaxedaは、全チャネルにわたるITインフラの標準化を目指していました。加えて、大規模なシステム展開(デプロイ)を円滑に支援してくれるソリューションを求めていました。
これらの要件をすべて把握した上で、Arubaは、屋内および屋外の双方に対応した「高密度インスタントアクセスポイント(IAP)」を組み込んだソリューションを提案しました。
また、同社はPoE(Power over Ethernet)スイッチも提供しました。これはマスター・スイッチとして機能し、そこからすべてのネットワークスイッチを一元的に管理・制御することが可能となります。
さらにArubaは、「AirWave」ソリューションも提供しました。このソリューションは、ネットワーク管理、レポート作成、および脅威発生時のトラブルシューティングにおいて、極めて高い有効性を発揮します。
これらのソリューションをシステムに組み込み設定を完了させた結果、同社は320店舗以上にわたる全拠点で、一貫性のある安定したネットワーク接続環境の構築に成功しました。そして何よりも重要な点として、現在ではネットワーク管理全体を「単一のビュー(一元化された画面)」から包括的に可視化・管理できる環境が実現したのです。
IBM QRadar – Atea Sverige
QRadarは、IBMが提供する製品の中でも特に優れたものの一つです。本製品は、ユーザーの行動分析(UBA)を専門としています。内部脅威の検知や個別のリスクスコアリングといった機能を備えたこのIBMソリューションは、長年にわたり数多くの顧客に利用され、その安全確保に貢献してきました。
Atea Sverige ABは、情報技術(IT)インフラおよびサービスの提供において業界をリードする企業です。
サイバー脅威がますます頻発する現代において、公共部門の安全を確保するため、Ateaは中小規模の組織のセキュリティ強化に向けた独自の取り組みを開始しました。
欧州連合(EU)がセキュリティ要件を義務化したことにより、多くの中小企業はセキュリティポリシーの見直しや変更に迫られ、対応に苦慮していました。
こうした市場環境に変化をもたらすべく、同社が採用したのが「QRadar SIEM」です。このツールは、インシデントが検知されるたびにアラートを発し、未知の脅威に対しても自動的に対処を行います。
IBMソリューションの支援を受け、Ateaは顧客のオンプレミス環境に対し、迅速に「システム・オン・チップ(SOC)」を展開しました。これらのSOCは、顧客のセキュリティレベルを向上させるためにAteaが提供した独自のソリューションです。
この取り組みの成果は目覚ましいものでした。Ateaはわずか6ヶ月という短期間で、すべての顧客に対しSOCの導入を完了させることに成功したのです。
Observe IT — ベインキャピタル
1,200社を超える顧客を抱え、100カ国以上で事業を展開するObserve ITは、UEBA(ユーザーおよびエンティティ行動分析)市場において、まさに一大旋風を巻き起こす存在となっています。
同社は2006年に創業して以来、企業に対し、ユーザーの活動状況や、現在および将来の脅威に対する明確な可視性を提供することで、ビジネスセキュリティの確保という一点に特化して事業を展開してきました。
一方、ベインキャピタル(Bain Capital)は、マサチューセッツ州ボストンに拠点を置く投資会社です。
今日、投資会社はますますデジタル化への依存度を高めています。しかし、こうしたデジタル化の潮流は、多くの企業を様々な脅威にさらす結果にもつながっています。
ベインキャピタルにとって、脅威検知に使用していた従来のレガシーツールは、エンドポイントへの負荷があまりにも大きいという課題を抱えていました。その結果、セキュリティ上の「死角」が多数生じ、外部からの侵入を容易に許してしまうような脆弱性が残されてしまっていたのです。
こうした状況を是正するため、ベインキャピタルはObserve ITとの連携に踏み切りました。Observe ITが提供するソリューションは、既存のセキュリティ管理体制に対する俯瞰的な視点をもたらすと同時に、新たなセキュリティコンプライアンス体制の構築を支援する大きな力となりました。
結論
本ブログでは、UEBA(ユーザーおよびエンティティの振る舞い分析)の代表的な実例をいくつか取り上げ、その分析を試みました。UEBAは、組織が自社の資産やリソースの安全性・セキュリティを確保する上で、具体的にどのような役割を果たすのでしょうか。私たちは今回、企業が直面しつつも無事に乗り越えることに成功した、最悪の事態を想定した複数のシナリオを、可能な限り具体的に提示するよう努めました。
