TOPNetwork > セキュリティ対策の次の一歩は「UEBA」(前)

Network

セキュリティ対策の次の一歩は「UEBA」(前)

2015/11/17

Kacy Zurkus CSO

 従来のユーザー分析のモデルでは、収集したデータから処理しきれないほどの膨大な警告が発せられ、検討を加えることはほぼ不可能だった。

 「データに関して人間が把握していることに基づいたルールとなっている。ルールを適切にチューニングしておかないと、生成されるノイズが多すぎたり、適切に優先順位付けがされていない警告が多く出すぎたりする」とGartnerのレポートにはある。

 Stolte氏はこう話す。「最近のセキュリティ界では、こうしたデータを収集して一元的な形式にするための投資が多い。だが、単に警告を発する以上の対応が必要だ」

 行動分析と機械学習を組み合わせることで、挙動不審なユーザーを特定する能力は高まる。その主な理由について、Gartnerのレポートには、「従来型のセキュリティ監視システムの多くと比べて、セキュリティ事象を発見したり、個別の犯人を分析したりするのがはるかに簡単だ」とある。

 最近の攻撃では、正規のユーザーになりすまして従来型の防御をかいくぐる方法が用いられているとStolte氏は説明する。「悪党は、善良なユーザーのふりをして入り込むようになっている。だが、何者かが私の鍵を盗み、私になりすましたとしても、私の立ち居振る舞いまでは分かっていない」

 犯人たちは、シグネチャーベースの行動分析を利用したセキュリティ対策の一歩先を行く方法を編み出しており、シグネチャーを特定したら行動を変えるようになっている。進化を果たした最近の行動分析に関しても、犯人はいずれ回避策を編み出すことに成功するのだろうか。

 悪事を成し遂げようとする者は、人に気づかれないような行動を取ろうとする、とStolte氏は言う。「特定の行動を検知するためのルールを作成しさえすれば、その行動はつかめるはずだが、問題は、その一線がどこにあるかを人々が知っていることだ」

 行動分析では、単にルール作成だけのセキュリティではなく、ユーザーの挙動にも目を向けたセキュリティとなる。何者かがユーザーのIDを奪ったとしても、そのユーザーらしい行動ができなければ、警告が発せられる。

 「特定の一線を超えたかどうかだけではなく、挙動の変化を確認するための指標として、こうした分析機能を利用する必要がある」とStolte氏は言う。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ