UEBA(User and Entity Behavior Analytics)|異常行動を高精度に検知する基盤

UEBA(User and Entity Behavior Analytics)

UEBA(User and Entity Behavior Analytics)は、組織内のユーザーと端末・サーバ・サービスアカウントなどのエンティティの通常行動を学習し、逸脱(異常)を検知して脅威や不正兆候を早期に把握する分析アプローチである。従来の静的ルールやシグネチャ中心の検知では見落としやすい資格情報悪用・内部不正・ラテラルムーブメントを、ふるまいの連続性や相関で見抜く点に特徴がある。UEBAはSIEMやEDR、IDPなど既存基盤のログ・テレメトリを統合し、リスクスコアを算出して監視・対応プロセス(SOC運用)を強化する。

Table Of Contents

目的と対象

UEBAの主目的は「通常と異なるふるまい」を確率的に特定し、攻撃や不正の兆候を早期に提示することである。対象は人間ユーザーだけでなく、端末、サーバ、アプリケーション、APIキー、ボット、IoT機器などの非人間エンティティまで広がる。これにより、侵害されたサービスアカウントや自動ジョブの異常も捕捉できる。

データ収集と前処理

UEBAは多様なデータを取り込む。代表例は、AD/IdPの認証ログ、VPN/プロキシ/DNS/NetFlow等のネットワークログ、EDR/EPPの端末テレメトリ、DLP/CASB/メールのイベント、クラウド監査ログ、ファイルアクセス履歴などである。取り込み後は時刻同期、正規化、同一主体の突合(Identity Resolution)、欠損補完、PII最小化などの前処理を行い、分析の一貫性とプライバシー保護を確保する。

行動基線(ベースライン)と特徴量設計

ユーザー・エンティティごとの「普段」をモデル化する。たとえば、曜日・時間帯のログイン傾向、地理・AS番号、端末指紋、通常利用アプリ、通常到達データ量、役割(部門・職務)に基づくピアグループとの比較などである。特徴量は、頻度、時系列の変化率、連続滞在時間、グラフ中心性、シーケンス(操作順序)などを組み合わせる。

分析手法

  • 統計的異常検知:Zスコア、移動平均/EWMA、季節調整
  • 教師なし学習:クラスタリング、オートエンコーダ、Isolation Forest
  • 系列/確率モデル:HMM、時系列モデル、シーケンス距離
  • グラフ分析:ノード関係性、コミュニティ逸脱、パス解析
  • ハイブリッド:軽量ルールと機械学習を段階的に組み合わせて誤検知を抑制

検知ユースケース

  • 資格情報詐取後の不正認証(深夜・未踏拠点・“Impossible Travel”)
  • 権限昇格やロール変更の連続異常
  • 横展開(ラテラルムーブ)や東西トラフィックの急増
  • 機微データの大量持出し、外部共有の異常パターン
  • 停止していた自動ジョブの突発的再開、実行頻度変化
  • 内部不正:退職予定者や高権限者の不自然なアクセス遍歴

スコアリングと運用統合

UEBAはイベント単発ではなく時系列・相関で「逸脱度」をスコア化し、ユーザー/エンティティ単位のリスクスコアとして蓄積する。SIEMでの相関結果と統合し、SOARのプレイブック(アカウント一時停止、多要素再認証の強制、EDR隔離、チケット発行)に接続することで、検知から初動対応までの時間短縮(MTTD/MTTRの改善)に寄与する。

導入プロセスとチューニング

  1. スコープ設定:対象システム/ログ源、優先ユースケース、保護資産の明確化
  2. データ品質確保:時刻同期、重複/欠損対処、主体IDの正規化
  3. 学習期間(コールドスタート)設計:初期は誤検知が多くなりやすい
  4. ピアグループ定義:役割・部門・拠点などの文脈を反映
  5. フィードバックループ:調査結果を学習へ反映し継続的に閾値/特徴量を改善

評価指標

警告品質はPrecision/Recall、ROC-AUCで定量化し、運用KPIとしてMTTD、MTTR、アラートからインシデントへの昇格率、アナリスト1人当たりの調査件数、誤検知率などを追跡する。単純な件数増加は負荷悪化につながるため、リスクの優先度付けとノイズ削減の両立が重要である。

ガバナンスとプライバシー

UEBAは個人の行動データを扱うため、最小権限のアクセス制御、目的外利用の禁止、データ保持期間の定義、仮名化/匿名化、監査証跡の保持が不可欠である。労使協議や社内ポリシーの透明性を確保し、地域法規(たとえば通知義務や移転制限)に整合させる。

よくある落とし穴

  • データサイロ:一部システムだけの観測で相関が途切れる
  • 過学習とドリフト:環境変化や業務季節性でベースラインが陳腐化
  • アラート過多:スコア閾値が甘く、SOCの処理能力を超過
  • 主体解決の失敗:共有端末や共用アカウントで実体が曖昧

SIEM/EDR/IDPとの関係

UEBAはSIEMの相関・検索機能を補完し、EDRの端末視点やIDPの認証視点と結び付けて「誰が・何を・どこで・いつ・どの程度逸脱したか」を横断的に提示する。これにより、点在する弱シグナルを束ねて強いコンテキストを生成できる。

アーキテクチャの典型

ログ/テレメトリの収集レイヤ、ストレージ(データレイク/ウェアハウス)、特徴量計算のストリーム/バッチ基盤、モデル推論サービス、リスクスコアストア、ダッシュボード、SIEM・SOAR・チケット連携のインターフェースで構成する。リアルタイム性が要求されるユースケースではストリーミング分析を併用する。

組織にもたらす価値

UEBAは未知攻撃や内部不正への可視性を高め、ゼロトラストの継続的検証、脅威ハンティングの効率化、監査対応の迅速化に寄与する。高精度な異常検知を通じて事後対応から予兆検知へと重心を移し、セキュリティ運用の成熟度を一段引き上げることができる。