1.ユーザクレデンシャルのセキュリティ侵害

ユーザアカウントクレデンシャルは正当なアクセスへの鍵です。そして、Verizon 2018 Data Breach Investigations Report（Verizonデータセキュリティ侵害調査レポート2018年版、p.8）によれば、データ侵害における最も多い攻撃手段は、盗まれたクレデンシャルによるものです。従来型のセキュリティツールは、無許可のアクセスを検知、特定することができないため、攻撃者に機密データや内部リソースへのアクセスを許してしまいます。

2.特権ユーザのセキュリティ侵害

特権ユーザは、機密情報データベース、ユーザ権限管理システム、認証システムなど、価値の高いリソースへのアクセスを許可されています。ハッカーが特権ユーザのクレデンシャルを取得すると、こうした価値の高いアセットへの攻撃が難なく行われてしまうおそれがあります。UEBAソリューションは、退職した従業員や請負業者による疑わしいアクティビティを監視して、機密データの扱いにおけるヒューマンエラーや、機密データへの過度のアクセスを特定することが期待されます。

3.経営幹部のアセットの監視

経営幹部をだまして電信送金を承認させるウェブメールのスキームによって、毎年数億ドルの盗難が発生しています。CEOやCFOのノートパソコンなど、経営幹部のコンピュータアセットにアクセスすることにより、機密性の高い収益、合併・買収、予算計画、製品およびサービス計画、競争に関する情報などのデータがハッカーに盗まれる可能性があります。効果的なUEBAソリューションには、経営幹部のシステムを特定し、異常なアクセスや利用を監視するアセットおよび行動モデルを自動的に構築できる機能が求められます。

4.セキュリティ侵害されたシステム、ホスト、デバイスの検知

攻撃者が組織のネットワーク内にあるシステム、ホスト、デバイスを制御する権限を得て、数か月、あるいは数年にわたってひそかに攻撃を行うといったことはよくあることです。UEBAソリューションは、ユーザアカウント、サーバ、ネットワークデバイス、信頼されていない通信ソース、安全でないプロトコル、その他の悪意のある行動を示す兆候など、複数の攻撃手段を監視する必要があります。さらに、ウイルスおよびマルウェア監視機能で、保護が無効になったり削除されたりしていないか、脅威が更新されていないかを検知する必要があります。

5.内部関係者のアクセス悪用

内部不正の検知が難しいのは、「信頼された」行動はほとんどのセキュリティツールでアラートの対象にならないという点です。つまり、脅威の行為者が正当なユーザに見えるのです。UEBAソリューションは、ユーザ（特権ユーザかどうかにかかわらず）が、通常の基準の範囲外にあるリスクの高いアクティビティを実行していることを検知できる必要があります。UEBAで用いられる技術には、異常な時間や頻度、異常なデータやシステムにアクセスしているログイン、または重要なシステム権限の変更や昇格を検知する方法や、ネットワークトラフィックと脅威インテリジェンスを関連付けて外部攻撃者と通信しているマルウェアを探知したり、データエクスフィルトレーションを探知したりする方法などがあります。

6. ラテラルムーブメントの検知

ラテラルムーブメントのプロセスは、機密データやアセットを求めてネットワークを体系的に移動する行為を伴います。例えば、権限の低い従業員アカウントのセキュリティ侵害から攻撃が始まったとします。いったん侵入すると、ハッカーはアカウント、マシン、IPアドレスを差し替えるために、他のアセットの脆弱性を探します。攻撃者が管理者アカウントを確保したときに、チャンスは訪れます。ラテラルムーブメントは、攻撃が細かく分かれてIT環境全体に散らばり、異なるクレデンシャル、IPアドレス、マシンにまたがるため、従来型のセキュリティツールで検知するのは極めて困難です。こういった無関係に思われる出来事は、すべて正常な動作のように見えます。UEBAソリューションでは、行動分析を用いて「無関係」のアクティビティの点と点をつなげ、損害が発生する前に攻撃を阻止します。

7.データ流出の検知

データ流出（データエクスフィルトレーション）は、機密データが不正に組織外に転送されたときに発生します。ユーザが手作業でインターネットを介してデータを転送したり、物理デバイスにコピーして会社の外にデータを持ち出したりする場合に発生するおそれがあります。また、データ流出は無意識に行われる場合があります。無意識なデータ流出の多くは、ローカルシステムがマルウェアに感染した場合に発生します。このユースケースでは、UEBAソリューションは、コマンドセンターやコントロールセンターへのネットワークトラフィックを検知し、無許可の人物にデータを転送する感染システムを特定します。UEBAは、大量のデータ転送を可能にするプロトコル上で、データを転送するユーザまたはマシンの基準値と比較して異常な量のネットワークトラフィックがないかどうかを監視します。

8.アカウントのロックアウト

アカウントのロックアウトが発生すると、ユーザがアカウントにアクセスできなくなります。このセキュリティ機能は、ユーザ名とパスワードを推測しようとするユーザなどからアカウントを保護することを目的としています。ロックアウトは、ログイン失敗の回数が、設定されたログイン試行回数を超えた場合に発生します。場合によっては、管理者に連絡してアカウントへのログイン権限を再び付与するよう依頼する必要があります。ひとつひとつの依頼に対応した場合、管理者による調査に数時間かかることがあります。このUEBAユースケースは、リスクアセスメントのプロセスを自動化し、アカウントのリスクに関する判定をすばやく行うのに役立ちます。UEBAソリューションを効果的に実施すれば、大手企業において最大で年間の人件費をまるまる節約できる可能性があります。

9.サービスアカウントの悪用

サービスアカウントは、特定のアプリケーションサービスを実行するために、通常のシステムアカウントの代わりに使用します。サービスアカウントはセキュリティの強化を目的としています。セキュリティ侵害された場合でも、損害は一般アカウントのセキュリティ侵害と比較して限定されています。しかし、一般的なセキュリティツールでは、サービスアカウントに対するアクセス権は限定されているか、またはまったくありません。この制約は奇妙です。というのも、サービスアカウントの権限は高く、攻撃者にとって価値のあるターゲットだからです。例えば、SAPの「Firefighter」アカウントには、多くの場合、この重要なアプリケーションに対する大きな特権が付与されています。UEBAにとって、サービスアカウントの悪用はとても重要なユースケースです。UEBAソリューションは、行動分析機能を活用することでサービスアカウントを自動的に特定し、その中に異常な行動があればフラグを立てます。

10.セキュリティアラート調査

従来型のセキュリティツールを用いたセキュリティアラート調査は、面倒な作業です。アラートは一般的に、生ログファイル内のわかりにくいデータで構成されており、たとえ経験豊富なセキュリティアナリストであっても、解釈がきわめて困難です。アラートの文面で「即時対応」が求められたとしても、調査そのものに様々な作業が必要で、手作業で様々なログファイルを相互に関連付けたり、意味を解釈したり、補助データを選り分けてヒントを探したり、アラートインシデントの根本原因を突き止めるために長い時間を費やしたりする必要があります。UEBAは、最新のSIEM（Security Information Event Management）ソリューションと組み合わせて使用することで、SOCアナリストの生産性を劇的に向上させることができます。タイムラインを自動生成することで、経験の浅いアナリストにとっても有効な、脅威ハンティングに適したインターフェイスを実現しています。

UEBAユースケースが提供する攻撃のに対する検知機能と高度な通知は組織にとって莫大で計り知れないメリットになります。これにより、セキュリティチームが常に危機と向き合い、発生中の脅威をすばやく駆除できるからです。ExabeamセキュリティマネジメントプラットフォームのUEBA機能は、上述の10種類のセキュリティユースケースすべてに対応します。

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

オンデマンド動画

脅威を丸見えに！機械学習による効果的なログ分析の実現
～UEBAを搭載した次世代SIEMプラットフォームExabeamとは～

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する“Exabeam”のご紹介します。

視聴はこちらから