深夜の誰もいないビル。静まり返ったオフィスに何者かが侵入すると、真っ先にビルの警備員が駆けつけてきます。警備員は、モニターによる監視や巡回、各種センサーからの通知によって、日常的にオフィスの状態を把握しています。平常時と異なる状態になると、それを素早く察知し、現場に急行。しかるべき対応をします。

 しかし、従業員になりすまして侵入した人物や悪意を持つ従業員に対しては、警備員にはその行動が不審かどうかを察知することは難しいでしょう。

 張り巡らされたデジタル防御網をすり抜けて侵入した悪意のある人物の行動や、従業員の不正な行為は、どのように発見すればよいのでしょうか。

(提供:123RF)

ユーザーと端末の不審な振る舞いをあぶり出す

 近年、日常の行動からは見つけ出すのが難しい、不正な振る舞いをあぶり出すセキュリティーソリューションである「UEBA(User and Entity Behavior Analytics)」の注目が高まっています。一般的にUEBAは、端末やサーバー、ネットワーク機器などから集めたログデータを一括管理して脅威を発見するSIEM(Security Information and Event Management)と組み合わせて使います。

 UEBAの「U」はコンピューターやネットワークの利用者(ユーザー)のことで、「E」とはコンピューター端末やスマートフォン、タブレット、仮想環境でのマシンやネットワーク機器といったエンティティ(実体のあるもの)を指します。攻撃者による乗っ取りの対象がユーザーアカウントだけでなくネットワーク上にある端末や機器などにも及んだため、監視の対象に含めるようになりました。

 SIEMはネットワーク上で発生する様々なデータを収集・分析し、マルウエアの発見や攻撃コマンドの検出などにより脅威を察知します。これに対してUEBAは大量のデータログをビッグデータとして扱い、ユーザーや端末の振る舞いを統計的に処理することで異常な行動をあぶり出して、脅威を察知します。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。