UEBA(User and Entity Behavior Analytics) ゆーいーびーえー
簡単に言うとこんな感じ!
「この人、いつもと行動パターンが違う…」を自動で気づいてくれる仕組みだよ!ウイルス対策がマルウェアを直接ブロックするのに対して、UEBAは「人・機器の普段の行動」を学習して、不自然な動きをAIで検出するんだ。社内不正や乗っ取りアカウントの発見に特に強いってこと!
UEBAとは
UEBA(User and Entity Behavior Analytics) とは、ユーザー(人間)やエンティティ(サーバー・端末・アプリケーションなどのシステム構成要素)の行動ログを継続的に収集・学習し、正常な行動パターンからの逸脱(アノマリー) を自動検出するセキュリティ分析技術です。ガートナー社が2015年に提唱した概念で、従来の「既知の脅威シグネチャ(特徴パターン)に一致するか」という検知手法では捕まえられない脅威を発見するために生まれました。
従来のセキュリティ製品は「このファイルがウイルスかどうか」「このIPアドレスが悪意ある接続先かどうか」を既知のリストと照合して判断します。しかしUEBAは違います。「この社員は毎朝9時に東京からログインしているのに、今夜2時にロシアからアクセスしている」「この機器は普段アクセスしないファイルサーバーに大量アクセスしている」といった行動文脈の異常を機械学習で検出します。
実務上は SIEM(Security Information and Event Management:ログ一元管理・分析基盤) と統合して使われることが多く、「SIEM+UEBA」として製品に組み込まれているケースが一般的です。内部不正・アカウント乗っ取り・標的型攻撃など、ルールベースでは見つけにくい脅威の検出 に強みがあります。
UEBAの仕組みと検知の流れ
UEBAは大きく「データ収集→ベースライン構築→異常スコアリング→アラート」の4ステップで動作します。
| ステップ | 内容 | 具体例 |
|---|---|---|
| ① データ収集 | ログ・イベントを集約 | 認証ログ、ファイルアクセス、メール送信、VPN接続など |
| ② ベースライン構築 | 「普通の行動」を機械学習で学習 | Aさんは平日9〜18時・国内からのみログインする |
| ③ 異常スコアリング | 正常パターンとのズレをスコア化 | 深夜の海外IPからログイン → スコア90/100 |
| ④ アラート・調査 | 高スコアの行動をSOCに通知 | 担当者がコンテキスト付きで確認・対応 |
「エンティティ」って何? —— 人だけじゃない点がポイント
UEBAの「E(Entity)」はユーザー以外のIT資産すべてを指します。サーバー、IoTデバイス、クラウドサービスのAPIアカウントなども監視対象です。「このサーバーが突然、普段通信しない外部へ大量データを送り始めた」という機器の異常行動も検出できます。
検知できる主な脅威パターン
- インサイダー脅威:退職予定者が大量のファイルをUSBにコピー
- アカウント乗っ取り(ATO):盗まれた認証情報による不審ログイン
- 水平移動(ラテラルムーブメント):攻撃者が侵入後に社内システムを横移動
- データ持ち出し(データエクスフィルトレーション):機密ファイルの大量外部送信
- 特権アカウント悪用:管理者権限アカウントの不審な操作
歴史と背景
- 2000年代前半:SIEMが登場。ログの一元管理・相関分析が始まる
- 2010年代前半:SIEM単体ではルールベース検知の限界が顕在化。内部不正や標的型攻撃(APT)が増加
- 2015年:ガートナーが「UBA(User Behavior Analytics)」から「UEBA」へと概念を拡張。エンティティ(機器・システム)も分析対象に含める
- 2016〜2018年:Splunk、IBM QRadar、Microsoft Sentinelなど主要SIEMベンダーがUEBA機能を統合
- 2020年代:クラウド環境・リモートワーク普及により、従来の「社内にいれば安全」という前提が崩壊。ゼロトラストセキュリティとの親和性からUEBAの重要性がさらに高まる
- 現在:AIの高度化により誤検知率が改善。SOC(Security Operation Center:セキュリティ監視センター)の省力化ツールとして定着
UEBA・SIEM・EDRの違いと関係
似たようなセキュリティ用語が並びがちなので、整理しておきましょう。
| 製品/技術 | 主な監視対象 | 検知の手法 | 得意な脅威 |
|---|---|---|---|
| SIEM | ログ・イベント全般 | ルールベース相関分析 | 既知のパターン・コンプライアンス監査 |
| UEBA | ユーザー・エンティティの行動 | 機械学習によるアノマリー検知 | 内部不正・アカウント乗っ取り |
| EDR | エンドポイント(PC・サーバー)上のプロセス | 振る舞い検知・フォレンジック | マルウェア感染・端末上の不審動作 |
| SOAR | セキュリティ全般のワークフロー | 自動対応・プレイブック実行 | インシデント対応の自動化・効率化 |
現代の企業セキュリティでは、これらを組み合わせた「SIEM+UEBA+SOAR」の三位一体構成が標準的なSOC基盤になっています。
導入時に押さえておきたいポイント
UEBAはパワフルな技術ですが、導入すれば即効果が出る魔法のツールではありません。発注・選定担当者が知っておくべき現実的なポイントを整理します。
学習期間が必要 機械学習でベースラインを構築するには通常2〜4週間のデータ蓄積期間が必要です。導入直後は精度が低く、誤検知(フォルスポジティブ)も出やすい時期があります。
ログ品質がすべて 収集するログの量・質が検知精度に直結します。認証ログだけでなく、ファイルアクセス・メール・クラウドサービスのログも統合できると精度が上がります。
SOCの運用体制がセット アラートが出ても確認・判断する人がいなければ意味がありません。UEBAはあくまで「調査すべき候補を絞り込むツール」です。SOC体制(内製またはMSSP委託)とセットで検討してください。
代表的な製品例
| 製品名 | ベンダー | 特徴 |
|---|---|---|
| Microsoft Sentinel | Microsoft | Azure環境との統合が容易。UEBA機能を標準搭載 |
| Splunk UBA | Splunk | 高度なカスタマイズ性。大規模環境向け |
| IBM QRadar | IBM | SIEMとUEBAの統合。金融・官公庁での実績多数 |
| Exabeam | Exabeam | UEBA専業から出発。タイムライン分析に強み |