UEBAはユーザーとデータの行動解析を意味している言葉です。ネットワークの脅威は端末の感染によって現実化します。その後は他に広がって、大きな問題となってしまいます。そうならないためには、感染した端末の行動をいち早く見つけ出して対応しなければいけません。
例えばファイルの破壊や持ち出し、他の端末へのアクセスなどが考えられます。このような行動は通常のユーザーとは異なるため、異常状態と識別することができます。様子がおかしいと思ったら、感染を疑って確認すると言った人間の場合と同じことをネットワーク上で行います。UEBAはユーザーの行動を相関的に比較して異常を検知します。
様子がおかしい場合は、システム管理者に通知して対応を促します。この方法ではネットワークを介して行われる通信だけでなく、近接通信による直接的な攻撃に対しても効果を発揮します。また内部の脅威からも防止が可能なので、他のネットワークセキュリティでは監視できない範囲まで対応可能です。UEBAを導入することによって、幅広い範囲でセキュリティを確保できます。
ユーザーの行動が適切かどうかがコンプライアンスの観点で重要といえます。このようなテクニカルでない部分の監視では、不可欠のシステムと言えます。ただし検知のレベルが高いと、業務に支障をきたすこともあり、運用の程度を適切に設定するのは難しいでしょう。実績から修正を繰り返し、妥協点を見つけ出す作業が必要となります。
No comment yet, add your voice below!