コンテンツまでスキップ

【Netskope】UEBAって何?NetskopeのUEBAを初歩的なところから説明してみた

Picture of tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はUEBA(User and Entity Behavior Analytics)の解説をしつつ、実際のユースケースをご紹介していきます

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

 

 

 

UEBAとは

UEBAとは、ユーザーやデバイスの行動パターンを機械学習や統計手法で分析し、通常と異なる動きを検出するセキュリティ技術です
例えば、社員が大量のファイルをダウンロードしたり、海外から不審なログインを行った場合など、過去の行動傾向と比較して異常と判断します

UEBAの目的は、

  • 内部不正(例:社員によるデータ持ち出し)

  • アカウント侵害(例:盗まれた認証情報の利用)

  • デバイス感染(例:マルウェアによる外部通信)

といった脅威を早期に発見することで、クラウドアプリやWebアクセスのログを横断的に可視化し、サイバーセキュリティを“行動分析”で強化するアプローチです

NetskopeのUEBAでできることとは

NetskopeのUEBAは、2つのレベルが存在します。1つ目のレベルが”1時間でファイルを100個ダウンロードした”であったり、"15分間で3回ログインの失敗があった"などNetskopeのCASBやSWG等で収集したログを統合的に分析し、監視する機能です

Standard UEBA

また、2つ目のレベルが、機械学習を利用し、内部脅威やデータ流出をより緻密に検知します

Advanced UEBA

また、これらの異常をスコア化し、ユーザーごとに「リスクスコア」を算出します
このリスクスコアに基づいて、アクセス制御を行える機能です

ユーザースコアリング

2つ目のレベルでいえば、1つ目のレベル以外にも例えば:

  • 通常と比べて、不審なIPアドレスからログインしている

  • 通常と比べて、怪しい機密データの持ち出し

  • ランサムウェアの疑いのある行動をしている

  • 通常アクセスがない国からのアクセスがある
等があります

また、NetskopeのUEBAは単体ではなく、SASEプラットフォーム全体(CASB, SWG, DLPなど)と連携して動作するため、クラウド利用全体の“ふるまい可視化”が可能です

また、それぞれの設定をオフにすることもできたり、対象を限定することもできます。例えば、会社認可SaaSでの大量DLなどが頻繁にあるユーザーは対象としないなどが可能です。それぞれの環境に合わせたチューニングが可能となります

UEBAのユースケース

実際には、以下のような場面でUEBAが活用されています

不正ログインの検知とアカウント侵害の早期発見

海外からの突然のアクセスや、通常使わない端末からのログインなどを自動検知します

たとえば、東京勤務の社員が深夜にブラジルからログインした場合、UEBAは「通常の行動パターンから逸脱したアクセス」として即座にスコアを減点します
リスクが閾値を下回ると、MFA強制やアクセス制限ポリシーなどの制御が可能です

大量データのアップロード・削除・転送を検知

Google DriveやBoxなどのクラウドストレージで、短時間に大量のアップロードや削除が行われた場合「通常より高頻度な操作」と判断します

退職前のデータ持ち出しなどのリスクを早期に特定し、CASBやDLPでの制御が可能です


アカウント共有の検出

同一アカウントで異なる拠点や国、デバイスから同時ログイン等が行われた場合、UEBAは「資格情報の共有または漏洩」と判断し、検知することがあります

その場合、会社SaaSへのアクセスを禁止するような制御が可能です

会社インスタンスと個人インスタンスの混在によるデータ流出防止

たとえば、社員が企業用Google Drive(@company.com)から個人用Gmail(@gmail.com)にファイルを転送しようとした場合、UEBAはドメイン差異を検知し、「企業⇔個人間のデータ流出」としてスコアを減点します

これは個人インスタンスの利用を禁止するわけではないが、大量にしている場合検知したい/通知したい場合にポリシーで個人アプリへのアップロードをブロックすることが可能です

さいごに

いかがでしたでしょうか。UEBAはNetskopeを使うユーザーがやりたいことをより柔軟に監視/制御が可能になります。
特にNetskopeの強みであるCASBやDLPと組み合わせると、他の商材では実現できないような強力な条件での制御が可能になります。
ぜひご利用してみてはいかがでしょうか
,