サイバーセキュリティツール「UEBA」とは？SIEMやUBAの違いと主な機能、導入について

サイバーセキュリティツール「UEBA」とは？
UEBAの必要性と期待できる効果
UEBA製品の主な機能
TISのUEBA導入支援について（Sentinel）
お問い合わせ

TISでセキュリティ関連の業務に携わっている栁津です。
昨今のサイバー攻撃は高度化が進み、アカウント情報の窃取や内部からの不正操作など、表面上は正常に見えるサインインの中に脅威が潜むケースが増えています。
こうした従来のログ監視だけでは見抜きにくい脅威に対処する手段として注目されているのが UEBA（User and Entity Behavior Analytics：ユーザーとエンティティの行動分析）です。
本コラムでは、この UEBA の役割と活用方法について紹介していきます。

サイバーセキュリティツール「UEBA」とは？
UEBAの必要性と期待できる効果
UEBA製品の主な機能
TISのUEBA導入支援について（Sentinel）

サイバーセキュリティツール「UEBA」とは？

UEBA（User and Entity Behavior Analytics）とは？意味や読み方を解説

UEBAとは、「ユーザーとエンティティの行動分析」と言われる、ユーザーやデバイス、サービスなどの「普段の振る舞い」を機械学習や統計分析を用いて学習することで、"通常とは異なる動作"を検知する高度な脅威検知技術です。

従来のルールベース検知では、組織内のユーザーが行う内部不正など、ログだけでは脅威か判断できない事例が多くありました。これを判断するためには、ログインや接続、ファイルダウンロードなどの操作の中から、正常な操作と異常な操作を区別する必要があります。
これを組織内のセキュリティ担当者が行う場合、問題発生後の対応になることや、普段の振る舞いが分からず調査に時間がかかるなど、多くの課題があり、人の手で全て対応するのが難しい領域とされています。

UEBAでは、このようなユーザーやエンティティ（デバイスやサービスなどの組織内の監視対象要素）の普段の振る舞いを定めるために、機械学習や統計分析によるモデリングを行います。これにより、正常な操作と異常な操作を区別し、脅威の早期発見や調査時間の短縮などにつながります。

Microsoft Sentinel導入・運用サービスの概要資料をダウンロードする＞＞

UEBAとSIEMの違い

UEBAと同じ脅威の検知機能を持った代表的な製品や技術として、SIEM（Security Information and Event Management）があります。
SIEMは、各種機器やソフトウェアからログなどのセキュリティ情報を収集し、そのデータを集約・監視・分析を行うことで脅威を検出する製品です。

UEBAは、多くの場合このSIEMに組み込まれるか、SIMEと連携して使われるものとなります。そのため、UEBAを利用したい場合には、SIEMを導入した上でその機能拡張としてUEBAを利用する形になることがほとんどです。
それぞれの動きとして、SIEMが「データを広く集めて関連付け」を行い、UEBAがその情報をもとに「通常と異なる動作の検知」を行うことで、集めたデータをより活用してより高度に脅威の検知が可能となります。

SIEMとは？意味や機能、導入メリットと流れを解説 | 特集・レポート | ITソリューションのTIS株式会社

UEBAとUBAの違い

UBA（User Behavior Analytics）は、「ユーザー」の振る舞いを検知する機能です。
文字通り、UBAではユーザーに限った振る舞いを検知していたものから、さらにエンティティの振る舞いを含めて監視・検知するように機能的に強化されたものがUEBAとなります。

現在は、UBAよりも機能が優れたUEBAのほうが主流であるため、新規で導入する場合はUEBAを導入することが推奨されます。
また、UBAは使っているけれどUEBAに移行するか悩まれる場合もあるかと思います。
実際問題、昨今の組織が扱うシステムはより多く、より複雑になってきており、ユーザーの振る舞いだけでは対応しきれない脅威も多く出てしまう状況になっています。
そのため、UBAからUEBAに移行することで、昨今の高度な脅威にも対策を打つことができ、組織のセキュリティレベル向上に繋がります。

UEBAの必要性と期待できる効果

UEBAでは普段の振る舞いを学習して、通常とは異なる振る舞いを検知しますが、これによって組織はどのようなメリットが得られるでしょうか。本章ではUEBAの必要性や、UEBAによって得られるメリットについて説明していきたいと思います。

内部不正対策（内部脅威対策）

UEBAの振る舞いを学習して異常を検知することで、一番わかりやすいメリットが内部不正対策です。
内部不正は昨今非常に注目度の高い脅威の１つであり、組織の信頼や事業継続に重大な影響を与えます。内部不正は外部からの侵入を防ぐだけでは対策ができないため、組織内の行動監視やデータ損失防止などの様々な対策が必要となります。

この内部不正は大きく分けて２つあり、故意ではないうっかりミスによるものと、悪意を持って機密情報を漏洩させる内部犯行があります。UEBAは、組織内のユーザーやエンティティの振る舞いを監視することで、悪意や故意の有無に関係なく異常行動を検知できるため、うっかりミスと内部犯行のどちらともの内部不正対策になります。

よくある内部不正の例としては、退職者による機密情報の流出です。この対策の１つがUEBAによる振る舞いの検知となります。
UEBAによる異常行動検知の流れとしては、まず退職するユーザーに対してID管理システムで退職予定フラグを建てます。その情報がUEBAと連携されると、リスクの高いユーザーとして認識され、通常のユーザーよりも異常行動のしきい値が低くなり、普段と少し異なる危険な行動をしただけでも検知されるようになります。これにより、このユーザーが普段行わない大量のデータダウンロードなどを行うと、UEBAによってそれが検知され、場合によってはそのダウンロードをブロックするなどの対応が可能となります。

アカウント侵害の早期検知

昨今では、標的型攻撃と呼ばれる、組織内のユーザーからアカウントの資格情報を窃取する目的での攻撃も非常に多くあります。
資格情報が奪取されると、攻撃者が正常なサインイン情報を使用してアカウントを利用することができてしまい、内部不正よりも大きな被害に繋がります。

こうしたアカウント侵害の対策として、標的型攻撃やフィッシングで用いられるメールセキュリティの強化や、多要素認証（MFA）を用いることでパスワードなどの１つの資格情報ではサインインができないようにするなどが挙げられますが、こうした対策をすり抜けて侵入を許してしまった際の最終防壁がUEBAです。

侵入した攻撃者の多くが実施する操作として、横移動（Lateral Movement）や権限の変更があります。これらは、侵入したアカウントから他のアカウントやエンティティの情報を窃取して侵入することや、現在の権限よりも高位の権限でないと閲覧できない情報を取得するために使われる操作となります。つまり、普段の振る舞いとは異なる操作であることが多く、こうした危険な行動を検知することでアカウントが侵害されている可能性を検知することに繋がり、被害が発生する前にアカウントを無効にするなどの対応をすることが可能となります。

SOC運用負荷の軽減

他にも、多くの組織が抱える問題の１つとして、SOC運用負荷が増加していることがあります。
これには、組織が利用するシステムが増えていることで監視しなければならないセキュリティ情報量が増えていることや、セキュリティ人材の不足など様々な原因があります。

そうした中で、SOC運用はより効率的に実施する必要があり、誤検知による不要なアラートの削減や、検知したアラートに対して決まった処理を行う工程の自動化などの必要性が高まっています。UEBAでは、不要なアラートの削減やアラートの優先順位付けといった機能によって、SOC運用効率化に貢献することが可能です。

不要なアラートの多くは、ユーザーが日常的に行う安全な操作を検知システムが"念のため"検知してしまうことで発生します。UEBAは、こうした普段の振る舞いを学習し、これを通常の行動として扱うことで不要なアラートを削減します。
一方で、同じ操作でも危険性の高いユーザーや普段の振る舞いから逸脱している場合には、スコアリングによってリスクスコアが上がり、より重要なアラートとして判断することができるため、重要なアラートは見逃さずに不要なアラートだけを削減することが可能です。

Microsoft Sentinel導入・運用サービスの概要資料をダウンロードする＞＞

UEBA製品の主な機能

UEBAによって様々な効果を得られることを説明してきましたが、そうした効果を実現するためにUEBAはどのような機能を兼ね備えているでしょうか。既に一部機能は簡単に出てきていますが、本章ではその機能をもう少し深掘りできればと思います。

ベースラインの作成

UEBAでは、振る舞い検知の土台として、まず各ユーザーやエンティティが普段どのように活動しているかを学習し、「普段の振る舞い」の基準（ベースライン）を作成します。これにより、その基準から外れた行動を“異常”として検知できるようになります。

行動ベースラインは、組織の各種ログを横断的に収集・分析して作られます。主に以下の情報が用いられます。

ログイン関連：時間帯、場所（国・地域・IP）、端末や認証方法
ネットワーク利用：よく使うアプリやサーバー、通信量
ファイル操作：アップロード・ダウンロードの頻度やデータ量
操作内容：権限昇格や管理者操作、設定変更などの行動
デバイス特性：普段利用する端末・OS・接続環境

こうしたデータをもとに、各ユーザー固有の正常な行動パターンがモデル化されます。

ベースラインは、収集したログをUEBAが自動的に分析して作成されるため、ユーザーが何か特別な操作を行う必要はありません。
また、ベースラインの作成はUEBA側のシステムで処理されるため、ユーザーの業務に影響せずに利用することが可能です。

振る舞い検知

ベースラインによって、ユーザーやエンティティの"通常の振る舞い"が定義されると、次はこの基準を活用して、普段と異なる行動を検知する”振る舞い検知”が可能となります。

例えば、ユーザーが普段アクセスしない機密フォルダを開き、その直後に大量のファイルをコピーし、さらに外部クラウドに送信するといった流れがあったとします。
流れ全体を通してみると、一連の行動に怪しさを感じるかもしれませんが、１つ１つの行動を分けてみると、通常業務でも実行する操作のため、ルールベースの検知ではこれらの脅威は見逃されやすい傾向にあります。

こうした連続した行動の変化に着目し、シナリオとして検出できるのが振る舞い検知の強みです。これにより、既知の攻撃パターンに当てはまらない未知の攻撃や内部不正の兆候を早期に発見し、SOCは重要なインシデントを優先して対応できるため、誤検知の削減と運用効率の向上にもつながります。

リスクスコアリング

UEBAでは、こうした振る舞い検知の前後でユーザーやエンティティにリスクスコアリングを行い、リスクの高い対象には検知のしきい値を下げて早期に異常を察知したり、検知後のアラートの重要度を引き上げて優先的な対応が必要であることをSOC担当者に示すことができます。

例えば、退職予定者や外部委託者といった事前にリスクが高いと判断されるユーザーには、通常では見過ごされる小さな行動変化でも検知されやすくなります。また、検知後には、同じ行動であっても特権管理者が機密データを扱った場合はスコアを加算し、より重大なアラートとして扱います。さらにEDRやCASBなど他のセキュリティ製品のアラートや脅威情報を統合することで、ユーザーごとのリスクを総合的に評価できます。

これにより、SOCは膨大なアラートの中から本当に優先すべきものを見極められるようになり、限られたリソースを効率的に活用できるようになります。

Microsoft Sentinel導入・運用サービスの概要資料をダウンロードする＞＞

TISのUEBA導入支援について（Sentinel）

ここまでUEBAについてご説明してきましたが、TISではUEBAの関連製品として様々な製品・サービスを提供しています。
今回はその中でもMicrosoft社の製品に注目して、実際の機能としてどのようなものがあるかを説明したいと思います。
Microsoft社ではUEBA単体製品はなく、SIEM製品である「Microsoft Sentinel」に含まれる形で提供されています。
また、ユーザーやエンティティの管理として、Microsoft社が提供するID管理システムの「Microsoft Entra ID」と連携させることで、気軽にUEBAの機能を利用することができます。

Microsoft Sentinel

Microsoft Sentinelとは、Microsoft社が提供するクラウドネイティブなSIEM製品です。
クラウドネイティブであることから、ログ量の増加によりスケールアウトが必要となった場合でも、柔軟かつ容易に対応することが可能です。
また、SIEMとしての機能だけでなく、SOAR（Security Orchestration, Automation and Response）や、ユーザーの振る舞いを学習して異常な行動を検知するUEBA（User and Entity Behavior Analytics）といった機能も備えており、高度な脅威の検知から対応までを一貫して実現することができる製品です。

Microsoft Entra ID

Microsoft Entra IDとは、Microsoftが提供するクラウドベースのIDおよびアクセス管理（IAM）サービスで、ユーザー、デバイス、アプリ、リソースの認証・認可・ポリシー適用を中心にセキュリティを提供する製品です。
クラウドネイティブであるため、オンプレ環境やMicrosoft 365/Azureと連携してスケーラブルにID管理を行え、条件付きアクセスや多要素認証、リスク検出による自動的な保護といった機能でゼロトラストの実装を支援します。

ベースライン作成：SentinelでのUEBA設定

Sentinelではベースライン作成元となる情報源として、「Microsoft Entra ID」やオンプレミスのActive Directoryからユーザーやエンティティの情報を取り込む必要があります。
Microsoft製品ということもあり、同じMicrosoft製品からの情報取り込みは比較的容易に実施することが可能です。
こうして取り込んだユーザーやエンティティの情報に対して、それらの振る舞いに関するログ（サインインログなど）となるデータソースの選択することで、ユーザーやエンティティの振る舞いを学習し、ベースラインを作成します。

＜UEBAの設定イメージ＞
実際の設定画面も以下のようにシンプルになっており、
①UEBAの有効化
②ディレクトリサービスの選択
③データソースの選択
の３つを設定するだけで、製品が機械学習などを用いてベースラインを作成します。

振る舞い検知：UEBAの分析ルール

UEBAを有効化すると、ベースラインをもとにエンティティの動作を解析した結果がUEBAの新規テーブルとして保存されます。
このテーブル情報はKQLを用いて検索でき、ユーザーやデバイスごとの特徴的な動きや変化を把握できるようになります。
さらに、このテーブルを用いて特定の異常行動を検知するためのカスタムルールを作成することも可能です。
また、カスタムルールを作成せずとも、Microsoftやログソースとなる製品が提供するテンプレートルールもあります。

これらのルールを用いることで、行動パターンの逸脱やリスクの高い操作を幅広く検知でき、監視の精度を高めることができます。

＜UEBA分析ルールの一覧イメージ＞
UEBAをどのように作成するかについては別コラムにて記載していますので、今回はUEBAを有効化することで利用できる異常ルールについ説明していきます。
UEBAの作成について知りたい場合には、リンク先のコラムをご覧ください。
SIEMとは？意味や機能、導入メリットと流れを解説

異常ルールの一覧画面では、以下４つの項目が重要なポイントになります。
①ルール名：異常検知ルールとして、どのような異常を検知するか。詳細はルール毎の説明にも記載あり。
②状態：ルールが有効化されているかどうか。
③データソース：どのデータや製品を元に異常を分析するか。
④攻撃手法：検知対象の異常が、MITRE ATT&CKのどの行動（戦術）や方法（手法）に該当するか。

リスクスコアリング：エンティティページ

検知された異常はエンティティページに集約され、ユーザーやデバイスなどのエンティティ毎に High / Medium / Low のリスク分類として表示されます。これにより、どのエンティティがより危険な状態にあるかを直感的に判断できます。
また、エンティティページではアラート履歴や行動異常（UEBA）の情報、関連するイベントが一画面に統合され、リスクが発生した背景や行動の流れを把握しながら効率的に調査を進めることができます。
これにより、単純なイベント調査に比べて、優先度付けと分析の質が大幅に向上します。

＜エンティティページの確認イメージ＞
今回は、エンティティページからどのような情報が得られるのかを、Microsoft Learn ページに掲載されている画像をもとにご紹介します。
Microsoft Sentinel のエンティティページ | Microsoft Learn

インシデント詳細画面では、以下の5つの主要情報を一目で把握できます。

① エンティティ情報
左側のエンティティ情報パネルでは、対象となるユーザーやデバイスの基本情報が一覧化されています。
アカウント情報、デバイス属性など、「このエンティティが誰（何）なのか」を理解するための基礎データがまとまっており、調査対象の特定をスムーズに行えます。

② タイムライン
中央パネルでは、該当エンティティに関連するアラート・異常行動・アクティビティが時系列で表示されます。
ここでは特に、アラートが High / Medium / Low の3段階でリスク分類されており、どの異常がより危険なのか、どのタイミングで発生したのかを直感的に把握できます。
また、アラートや行動の前後関係が視覚的に確認でき、インシデントの流れを理解するうえでも非常に有用です。

③ 分析情報
右側の分析情報パネルには、UEBA による行動異常分析や、関連イベント、アラート間の関係性などが表示されます。ここでは、ユーザーの行動傾向・異常度・リスクの根拠となる追加インサイトが確認でき、中央パネルで見つけたリスク分類の背景を深く理解できます。
これにより、単なるアラートの確認に留まらず、エンティティの行動全体を踏まえた高精度な調査が可能になります。

Microsoft Sentinelをさらに知りたい

今回は、UEBAの観点にフォーカスしてMicrosoft Sentinelをご紹介してきましたが、Sentinelはこのほかにも、SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）といった高度な機能を備えたセキュリティ統合プラットフォームです。
こうした機能に関心のある方や、Sentinelの導入をご検討されており全体像を把握したい方に向けて、弊社では以下のコラム・サービス紹介記事をご用意しています。ぜひご覧ください。

Microsoft Sentinelについて
Microsoft Sentinelとは？主な機能、料金計算と導入について
TISのSentinel導入支援サービスについて
Microsoft Sentinel向け活用サービス～SIEMを活用したセキュリティ高度化

Microsoft Sentinel導入・運用サービスの概要資料をダウンロードする＞＞

著者

ＩＴ基盤技術事業本部　IT基盤サービス事業部　セキュリティーソリューション部　栁津雅也