HOMEColumnログからサイバー攻撃を検知するSIEM/UEBAとは?
コラム

ログからサイバー攻撃を検知するSIEM/UEBAとは?

サイバー攻撃が多様化・複雑化している今、企業はその対策に追われています。セキュリティ対策を講じている大手企業であっても例外ではなく、不正アクセスなどによる内部情報の流出事故が多く起こっています。その手口も、個人IDを乗っ取ることによるなりすまし、セキュリティを突破するマルウェア、従業員などによる内部犯行と多岐にわたっています。侵入に気づくことが遅くなった場合は、ITインフラ全体に被害が波及することも考えられます。もはや境界型による外部からの防御だけでは十分とは言えず、別の観点からの対策が必要になってきています。クラウドの導入やテレワークなど業務環境も変化している現在、サイバー攻撃による被害を最小に抑える対策にはどのようなものがあるのでしょうか?

行動を学習し異常を見つけ出すUEBAとは?

ログを収集・分析するSIEM

外部からの攻撃や企業内の不審な動きを検知する仕組みに「SIEM(Security Information and Event Management)」があります。SIEMは、さまざまなデバイスやセキュリティ機器、ネットワーク機器、サーバーやPCなどの動作状況のログを一元的に収集・加工し、相関分析によりサイバー攻撃などのセキュリティ脅威をリアルタイムに発見・通知する機能を提供します。巧妙化しているサイバー攻撃は、単一機器のログからでは不審な挙動を検知することが難しいため、さまざまな機器のログを収集し、あらかじめ定義したルールに合致したものを検知します。これまでのアンチウイルス製品は、PCやサーバーへ個別に導入することで既知の脅威に対しての効果がありましたが、SIEMは侵入されることを前提に被害を最小にする考え方のセキュリティ製品です。

SIEMは、企業全体の業務から検知ルールを作成し、しきい値を設定します。そのしきい値から逸脱した行動があった場合にセキュリティアラートを発出します。例えば、入退室管理のログと連携することにより、退社したはずの従業員のIDで業務時間外にサーバーへアクセスしている、といった起こり得ない状況を検知した場合などです。また短時間に同一サーバーへの大量なアクセスといったことも、ルールやしきい値を設定し検知することが可能です。

しかしSIEMを導入しても十分に使いこなせていないというケースも少なくありません。まず膨大なログを相関的に分析することが難しい点にあります。フォーマットの異なったログを収集して検索し、それぞれの関係性を調べ全体像を把握するには、ログの分析はもちろんセキュリティの知識、ネットワーク知識、社内の業務なども事前に知っておかなければなりません。そのため分析には高度なスキルが必要となり、できる人が限られるため業務が属人化してしまうといった問題があります。またクラウドやテレワーク導入など業務環境が変わるたびにルールやしきい値を更新していく必要があります。またSIEMは既知の脅威や決められたしきい値で検知するため、誤検知や過検知も起こる場合があります。このようにSIEMの運用は難易度が高いという欠点がありました。

SIEMを補完するUEBAとは

SIEMは不審な挙動を検知する優れた仕組みですが、その難しさを補う機能を提供するのがUEBA(User and Entity Behavior Analytics)です。ユーザーや機器などの行動や動作を学習することで異常を検知し、セキュリティに影響があるかを推定します。UEBAは、これまで属人的な業務となっていたログデータの相関関係を分析する作業を、AIや機械学習を応用し自動化することで誰でも簡単に扱えるようにします。UEBAの導入により大幅な運用工数の削減と、より精度の高い検知が可能となります。

これまでSIEMでは、企業や部署単位でルールを設定し、あらかじめ決めたしきい値により検知していましたが、UEBAはユーザーや機器ごとの振る舞いを見ることで、個人単位の詳細な行動データを自動的にパターン化します。これまでの企業や部署単位ではなく、動的に個人の業務特性を識別することでしきい値やルールを見直す必要がなくなり、より効率的な運用が実現します。また働き方改革によりテレワークを導入する企業が増え、テレワークでの業務時間も早朝や深夜帯など、人により違うケースも増えてきました。これまでの出社して業務を行う画一的なルールではなく、個人の業務スタイルに寄ったルールとしきい値で、より高い精度の検知を可能にしています。

SIEMとUEBAの違い

UEBAは、理解しやすい管理画面で現状を把握できるため、社内にセキュリティのエキスパートがいない場合でも容易に導入が可能です。しかし万一のインシデント発生時、迅速な対応を行う監視体制の整備が必要になったり、24時間365日監視する運用リソースの確保が難しい場合があります。その場合、常時監視や緊急時の一次対処など代行する外部の監視サービスを利用することもよいでしょう。

まとめ

サイバー攻撃が年々高度化している現在、完璧なセキュリティ対策を行うことは困難です。さらに、テレワークの導入やクラウドサービスの利用など業務環境の変更に伴い新たなセキュリティホールが生まれやすくなっています。セキュリティをすり抜けて侵入するマルウェア、悪意のある人物の行動、従業員による不正行為は起こりうるものとして捉え、いかに対処するかに重きを置いた対策を考慮しておくことが、被害を最小に抑えるために重要です。今回ご紹介したUEBAは、内部不正だけでなく、標的型攻撃の抑止、被害状況の把握などに効果のあるソリューションのため、被害対策を課題としている会社にとって有益な製品といえるでしょう。

関連リンク
資料ダウンロード
お問い合わせ
メールマガジン登録