重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

日本企業でも増大しているSOCの設置。その効率運用に向けて期待されるUEBAとは

SOCの活動支援に不可欠なSIEM。しかし従来型の機能だけでは不十分

サイバー犯罪は社会や企業にとって大きな脅威になっており、その被害も増大しています。警察庁が2020年3月に発表した「令和元年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2019年の検挙件数は9,519件と過去最多となり、継続的な増加傾向にあると指摘されています。このような状況に対処するため、最近ではSOCを社内に設置したり、社外のSOCサービスを活用する企業も増えています。

SOCとは「Security Operation Center」の略であり、情報システムへの脅威に対する監視や分析などを行う専門組織を意味します。このような組織を設置することで、脅威となるインシデントの早期発見が可能になり、適切な対応を行いやすくなります。IDC Japanが2019年4月に実施・2019年6月に発表した「情報セキュリティ対策実態調査」によれば、従業員3,000人以上の企業のうち50％近くがSOCを設置しているという結果になっています。現在ではその割合はさらに増加しているはずです。

もちろんSOCが必要な機能を果たすには、活動を支援する適切なツールの存在が欠かせません。そのために多くのSOCで導入されているのがSIEM（Security Information and Event Management）です。これはセキュリティに関する情報やイベントを統合管理・分析するためのツールであり、多様なログからの情報を集めて相関分析を行うことで、セキュリティインシデントの発見を容易にします。収集したログを人手で分析するには膨大な労力がかかりますが、この労力を削減しセキュリティインシデントの発見を効率化するのがSIEMなのです。

しかし実際には、SIEMを適切に使いこなせていない組織は、決して少なくないと指摘されています。SIEMでログの相関分析を行うには、そのためのルールを事前に作成しておく必要があり、必要なルールをどれだけ網羅的に設定できるかが、効果を大きく左右することになるからです。そのため未知の脅威への対応は難しく、必要に応じてログを精査し、新たなルールを追加することも必要です。

また相関分析の結果インシデントらしい事象が発見された場合でも、その全体像を把握するには高度なスキルが要求されます。さらに、大量のログを収集することで、セキュリティインシデントとは無関係のアラートが上がることも多く、どのアラートが重要なのかを見極めるために労力がかかってしまうという問題もあります。

このような問題を解決できる手段として、ここ数年注目を集めているのが「UEBA」というソリューションです。

UEBAとは「User and Entity Behavior Analytics」の略であり、ユーザーやエンティティの振る舞い分析を意味します。多くのセキュリティ用語と同じように、この言葉もガートナー社が作り出したものです。同社は2014年に「UBA（User Behavior Analytics）」という造語を生み出し、内部不正も含む脅威検出を行うには、個人ユーザーやユーザーグループの行動を分析する必要があると指摘。その翌年にこの言葉に「E（Entity：エンティティ）」を付け加え、UEBAとしたのです。

通常行動を学習することで異常行動を検出。この機能を搭載する「次世代SIEM」も登場

ここでいう「エンティティ」とは、ルータやサーバ、エンドポイント、アプリケーションなど、ネットワーク上における「ユーザー以外」の存在を意味します。これらが不正な動作をした場合も、ユーザーによる不正なふるまいと同じように、脅威をもたらすことになるからです。

UEBAとSIEMが提供する機能は、一見すると非常に似ています。いずれも企業ネットワークから膨大なイベントを収集し、それを整理・分析することで、SOCやセキュリティ担当者の意思決定を支援することを目的としているからです。また企業ネットワーク内に存在する多様なログデータを活用することも共通しています。

異なるのは分析における着眼点と、インシデント検出の方法です。

前述のようにSIEMでは、複数のログデータを付け合わせ、ルールベースで事前に設定しておいたパターンを見つけ出すことで、驚異となりうるインシデントを発見します。これに対しUEBAでは、「ユーザー」や「エンティティ」といった企業ネットワーク内で行動を行う「主体」にフォーカスを当て、それらの行動を継続的に監視することで異常行動を検知します。そのためにまず、ユーザーやエンティティの行動を学習し、通常の行動に関する「ベースライン」を作成、ここから逸脱した行動が「異常行動」とみなされ、アラートが上げられることになります。

例えば、朝9時から夕方5時までの勤務を、会社のオフィス内で行う従業員がいたとしましょう。この従業員が夜の11時に社内システムにログインし、いつもはアクセスしないデータベースにアクセスしたとすれば、これは「異常行動」だとみなせます。

最近では従業員の働き方が多様化しており、全ての従業員の「異常な行動パターン」を完全にルール化することは困難です。しかし学習機能で個々の従業員の「通常行動」を把握できれば、事前のルール作成を行うことなく「異常行動」を検出できます。つまりSIEMでは検出が難しいインシデントも、UEBAならSOCの負担を大きく増やすことなく検出できるようになるのです。

UEBAを提唱したガートナーは2017年、SIEMにはいくつかの高度な機能を組み込むべきであり、その1つがUEBAであると述べています。この提唱を受け、UEBA機能を搭載したSIEM製品を提供するベンダーも登場しており、このような製品は「次世代SIEM」と呼ばれています。

ITRが2020年2月に発表した「国内SIEM市場規模推移および予測」では、2018〜2023年度の平均成長率が12.6％、2023年の市場規模は103億円になるとしています※3。このうちの多くは、UEBA機能を実装したSIEMになるのではないでしょうか。

VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard（旧CB Defense、以下Endpoint Standard）は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス＋EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア（ファイルレス）攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら