sg sg-security-measures monitoring log_management incident_response
まず結論
UEBA(User and Entity Behavior Analytics)は、利用者や端末などのふるまいを分析し、いつもと違う不審な行動を見つける仕組みです。
SG試験では、UEBAを 「通常の行動パターンから外れた動きを検知する仕組み」 として押さえると分かりやすいです。
ポイントは、次の3つです。
- 利用者や端末の通常の行動を学習する
- いつもと違う操作やアクセスを見つける
- 内部不正やアカウント乗っ取りの兆候を検知する
特に、SIEMとの違いが重要です。
SIEMはログを集約・分析する仕組み、UEBAはふるまいの変化から異常を見つける仕組みです。
直感的な説明
UEBAは、会社の中の利用者や端末について、「いつもの行動」と「いつもと違う行動」を比べる仕組みです。
たとえば、ある社員が普段は、
- 平日の昼間にログインする
- 自分の部署のファイルだけを見る
- 社内ネットワークからアクセスする
- 少量のデータを扱う
という行動をしているとします。
ところが、ある日突然、
- 深夜にログインする
- 普段見ない部署のファイルへアクセスする
- 大量のデータをダウンロードする
- 海外のIPアドレスからアクセスする
という行動があれば、不審です。
UEBAは、このような通常と違うふるまいを手がかりに、異常を検知します。
つまりUEBAは、「この人らしくない動き」「この端末らしくない動き」を見つける仕組みです。
定義・仕組み
UEBAは、User and Entity Behavior Analytics の略です。
日本語では、利用者とエンティティの行動分析のように説明できます。
ここでいうエンティティとは、利用者だけでなく、端末、サーバ、アプリケーション、アカウントなど、監視対象となるものを指します。
UEBAの主な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| データ収集 | ログイン履歴、アクセス履歴、通信履歴などを集める |
| 通常行動の把握 | 利用者や端末ごとの普段の行動パターンを把握する |
| 異常検知 | 通常と違う行動を見つける |
| リスク評価 | 行動の不審度や危険度を評価する |
| 通知・調査 | SOCや管理者が確認できるようにする |
UEBAは、特定の攻撃パターンだけを見るのではなく、普段との違いに注目します。
そのため、未知の攻撃や内部不正の兆候を見つける手がかりになります。
どんな場面で使う?
UEBAは、通常のルールだけでは見つけにくい異常を検知したい場面で使われます。
アカウント乗っ取りの兆候を見つける場面
正しいIDとパスワードでログインされると、単純な認証ログだけでは不正と判断しにくいことがあります。
しかし、ログイン場所、時間帯、アクセス先、操作量が普段と大きく違えば、アカウント乗っ取りの可能性があります。
UEBAは、このような「正規アカウントを使った不正」を見つける手がかりになります。
内部不正の兆候を見つける場面
内部の利用者が正規の権限を使って操作している場合、通常のアクセス制御だけでは不正に気づきにくいことがあります。
たとえば、退職予定者が大量のファイルをダウンロードしたり、普段扱わない機密情報にアクセスしたりする場合です。
UEBAは、普段の行動との違いから、内部不正の兆候を検知しやすくします。
端末の不審な動きを見つける場面
端末がマルウェアに感染すると、普段とは違う通信や操作が発生することがあります。
たとえば、急に外部の不審なサーバと通信したり、大量のデータを送信したりする場合です。
UEBAは、端末の通常行動と比較して、不審な変化を見つけることができます。
よくある誤解・混同
誤解1:UEBAとSIEMは同じである
UEBAとSIEMは、どちらもログやイベントを使いますが、注目するポイントが違います。
| 用語 | 見分け方 |
|---|---|
| SIEM | 複数のログを集約・分析し、異常を検知する |
| UEBA | 利用者や端末の通常行動から外れた動きを検知する |
SIEMは、ログを集めて相関分析する仕組みです。
UEBAは、利用者や端末ごとのふるまいを見て、いつもと違う行動を見つけます。
試験では、ログ集約・相関分析ならSIEM、ふるまい分析ならUEBAと切り分けます。
誤解2:UEBAはマルウェアを直接駆除する仕組みである
UEBAは、マルウェアを直接駆除する仕組みではありません。
UEBAは、利用者や端末の行動を分析し、不審な変化を検知する仕組みです。
マルウェアの検知や端末での対応は、EDRなどの役割と切り分けます。
| 用語 | 主な役割 |
|---|---|
| UEBA | ふるまいの変化から異常を見つける |
| EDR | 端末上の不審な動きを検知・対応する |
UEBAは「駆除」ではなく、異常なふるまいを見つけることが中心です。
誤解3:UEBAがあれば認証やアクセス制御は不要である
これは違います。
UEBAは、認証やアクセス制御の代わりではありません。
認証は本人確認、アクセス制御は権限管理、UEBAは行動の異常検知です。
| 用語 | 見分け方 |
|---|---|
| 認証 | 本人かどうかを確認する |
| アクセス制御 | 何にアクセスできるかを制限する |
| UEBA | いつもと違う行動を検知する |
UEBAは、認証やアクセス制御をすり抜けた不審な動きを見つけるための補助的な仕組みです。
誤解4:普段と違う行動はすべて不正である
普段と違う行動があっても、必ず不正とは限りません。
たとえば、出張先からアクセスしたり、繁忙期に大量のデータを扱ったりすることもあります。
そのためUEBAで検知されたアラートは、内容を確認して判断する必要があります。
UEBAは、不正を確定する仕組みではなく、調査すべき兆候を見つける仕組みとして理解します。
SG試験での判断ポイント
UEBAが出てきたら、次の言葉に注目します。
- 利用者の行動分析
- 端末のふるまい分析
- 通常行動からの逸脱
- いつもと違うアクセス
- 内部不正の兆候
- アカウント乗っ取りの兆候
これらがあれば、UEBAの説明として判断しやすいです。
一方で、次のような説明は別の用語の可能性があります。
| 説明 | 関係しやすい用語 |
|---|---|
| ログを集約・分析して異常を検知する | SIEM |
| セキュリティ監視を行う組織 | SOC |
| インシデント対応を自動化する | SOAR |
| 端末上の不審な動きを検知・対応する | EDR |
| 本人かどうかを確認する | 認証 |
UEBAは、ふるまいの変化から異常を見つけるという軸で判断します。
関連用語との切り分け
UEBAは、SIEM、SOC、SOARとセットで整理すると分かりやすくなります。
| 用語 | 見分け方 |
|---|---|
| SIEM | ログを集約・分析して異常を検知する仕組み |
| UEBA | 利用者や端末のふるまいから異常を検知する仕組み |
| SOC | SIEMやUEBAなどを使って監視する組織 |
| SOAR | アラート後の調査・対応を自動化する仕組み |
| CSIRT | インシデント対応を調整する組織 |
流れで見ると、次のようになります。
- ログ管理で操作や通信の記録を残す
- SIEMでログを集約・分析する
- UEBAでふるまいの異常を見つける
- SOCが監視・分析する
- 必要に応じてSOARやCSIRTで対応する
この流れで覚えると、監視・検知・対応の役割を整理しやすくなります。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- UEBAは、利用者や端末の通常行動から外れた動きを検知する仕組み
- 内部不正やアカウント乗っ取りの兆候を見つけるのに役立つ
- 判断に迷ったら、ログ集約ならSIEM、ふるまい分析ならUEBA
UEBAは「誰が何をしたか」だけでなく、その行動が普段と比べて自然かどうかを見る仕組みです。
この違いを押さえると、SIEMやEDRとの混同を避けやすくなります。