常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「UEBA」の意味

「UEBA（User and Entity Behavior Analytics）」とは、今注目されている情報セキュリティ技術のひとつで、機械学習によってシステムユーザーの行動を学習し、異常なふるまいの検出によってインシデントの予兆を検知してくれるシステムです。「User and Entity」とあるように、ユーザーのアクティビティログに加えサーバーやネットワーク機器などシステムのエンドポイントのログを監視することで予兆を検知します。AIの機械学習を情報セキュリティに活かした例です。

機械学習とは、例えば膨大なネコの写真から「ネコの特徴（耳がとんがっている、ひげがある、顔が丸いなど）」を学習し、そのうち写真に写っている動物が“ネコかどうか”を判断できるようになるというシステムです。これを利用し、UEBAでは業務によって出力される多様なログのパターンを含むデータを学習することで、その中から正常業務でのログパターンのルールを自立的に覚えていきます。そして、その正常業務ルールから外れたユーザーのふるまいを異常として検知することができます。大量のデータを与えることで反復学習が進み、よりルールが洗練されていきます。

さて、そもそもインシデント予測のためには、サーバーやネットワーク機器、セキュリティソフトなどさまざまな場所からログを集め、さらにユーザーのアクセスログやアクティビティログも一緒に解析する必要があります。そうしたたくさんのログから各ふるまいの相関関係を割り出してパターン化し、そのパターンから正常／異常を決めるルールを作って初めてそのルールから逸脱したふるまいを検知することができるのです。

UEBA以外にも、そうしたルールに基づいて複数のログを一元的に蓄積して解析できる「SIEM（Security Information and Event Management）」というシステムがあります。バラバラであったログを一元管理できるSIEMはセキュリティ管理者の負担を多少減らせますが、判断基準となるルール作りは人が作ることが必要です。組織ごとに異なる業務パターンや、イレギュラーな時間帯に行われる正常業務などノイズだらけのアクティビティログに、セキュリティ管理者の運用負担が重くなりがちでした。UEBAはユーザー・エンドポイントでのふるまい監視に特化して機械学習で自動的にルールが作成され、そうした細かい条件にも対応できます。

具体的な活用例を挙げてみれば、ユーザーのアクセスする時間帯・接続ネットワーク・転送したファイルのサイズ・ログイン失敗履歴などを解析し、例えば『あるユーザーAが、勤務時間外の深夜に、通常とは異なるネットワークから10回以上もサーバーログインに失敗していた』などの行動を可視化することができます。この例は、ユーザーAのアカウントが不正に使用されサーバー侵入が試みられていた形跡であると推測できるのです。このように、UEBAではアカウントの不正使用、不正利用されたアカウントやサーバーの特定、情報漏洩などの兆候をユーザー・システム部位まで特定して可視化することができます。

検出した異常行動は、ただちにセキュリティ管理者に通知されます。UEBAを使うことで、怪しいユーザーや危険にさらされている行動が把握しやすく、素早く対策を打つことができるのです。

 

二段目　ITが苦手な経営者向け

とある企業の社長は、大型連休を終えてすっかりいつもの調子を取り戻した社内を見回っていた。情シスの上羽さんを見つけると・・・。

社長：上羽さん。GWの10連休は休めたのかな？

上羽：改元対応があったもののそれなりに休めましたよ。社長の『みんなで休め！キャンペーン』のおかげです。

社長：いつも情シスは忙しいから。ちゃんと休めたか心配していたんです。どうですか、情シスは業務改善ができていますか？

上羽さん：そうですね、去年度にUEBAを導入したので、今年はいくらか改善されていると思います。

社長：ん、UEBAとは？

上羽さん：AIを使ったセキュリティシステムですよ。セキュリティ監視業務で、ユーザーの不審な行動がないかをUEBAが監視してくれるんです。AIがね、システムサーバーとか入退室管理システムからログを集めてきて、ユーザーや機器ごとに整理して『この人が怪しい！』って教えてくれるんです。

社長：なるほど、異常検知にAIを使っているのですね！

上羽さん：はい。それまでは、システムのログを集めてどういう場合にどういう行動をしたら怪しいかという検知ルールを情シス担当者が手で作っていたんです。でも、そういうルールって部署によって違ったりするので…。

社長：それは、どういうルールなんですか？

上羽さん：例えば、営業部なら外部ネットワークからサーバーにアクセスすることも多いけど、内勤担当が外部ネットワークからアクセスするのはあまりないことです。そういう時は、例えば不正アクセスなどが疑われます。

社長：なるほど。それをAIが判断するのですね。

上羽さん：そうなんです。AIが『何が正常で、何が異常か』を機械学習で学んで判断してくれるんです。今までマニュアルでルール作りをしていたもので、どうしてもそういう部署ごとの違いや業務内容での違いをカバーしきれなくて、営業部だから外からつないでも怪しくないのに『怪しい！』となってアラートが上がっちゃったりして。そういう本来ならしなくてもいいはずのアラート解析や、随時のルール見直しなどで業務が膨れていたんです。

社長：そうだったんですか。それでUEBAを入れて今はどう変わりましたか？

上羽さん：今は、実際のインシデント対応や、予防対策などに専念できるようになりました。

社長：それは良かった。これも『徹底！業務改善キャンペーン』の成果かもしれないですね。

 

三段目　小学生向け

小学生のみなさん、テレビでバラエティやアニメだけでなくニュースもちゃんと見ていますか？世の中のニュースを知ることは皆さんを危険から守ることにもつながっています。さて、今回のテーマは、システムを危険から守る「UEBA」についてです。
システムにとっての危険というのは、悪い人が会社のシステムにこっそり入って勝手に使ってしまったり、大事な情報を盗んだりすることです。UEBAは、そういう悪い行動を見張ってくれるものなのです。

最近ニュースで聞くようになった「アポ電強盗」を例として考えてみましょう。アポ電強盗とは、家にどのくらいのお金があるかを電話で聞き出して、お金があるのを確かめてから強盗に入るという手口のどろぼうです。みなさん、警察になったつもりで、アポ電強盗を防ぐためにどういうことに気をつければいいのか、考えてみてください。

「Aさんの家に息子と名乗る男から電話がかかってきた」という情報がよせられました。これだけでは、ふつうの親子の電話かもしれませんよね。でも、「Bさん、Cさん、Dさんその他数十件の家にも男から電話がかかってきて、お金の話をした」「町の中で他人の家の様子をうかがう怪しい男が目撃された」「雑居ビルの308室に最近ひっこしてきた会社が、社員みんなサングラスにマスクであやしげな雰囲気」と、いろいろな方面からの情報をつきあわせて考えると、なんだかアポ電強盗の予兆のように見えてきましたよね。ひとつひとつの情報がばらばらにあるときは、“ふつうの親子の電話”、“行方不明のネコを探す探偵さん”、“サングラス好きな人たちの会社で風邪が流行”といった平和な状況にも見えることでしょう。しかし、全部の情報を集めてきてつきあわせてみれば、そのあやしさがわかります。実際に強盗が起きる前に308号室をしっかり調べるべきかもしれません！

UEBAもこのように、システムのいろいろなところから情報を集めてきて、つきあわせてあやしいかどうか見張ってくれるのです。そして、どこまであやしいか、本当はあやしくないのかはAI（人工知能）が判断しています。

UEBAでは、そうしたあやしい状況について「どこで」「いつ」「だれが」「どういうことをした」ということをしっかり記録してくれるので、実際に情報をぬすもうとしている人がいたら、犯人が「だれで」、「いつ」「どこで」活動しているのかがわかりやすくなるのです。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　星野 美緒】