UEBA 【User and Entity Behavior Analytics】 UBA / User Behavior Analytics

UEBAは情報システムの利用者（ユーザー）や、「エンティティ」（entity）として総称されるネットワーク上の通信機器やサーバ、端末、アプリケーションなどの行動を監視し、その活動が普段の行動パターンから大きく外れた場合に管理者に通報する。

UEBAは機器が日々残す記録（ログ）などを一定期間分析し、各利用者や機器が普段どのように活動しているかを表す行動パターンを作成する。これを「ベースライン」という。ベースラインを更新しつつ監視を続け、ある期間の行動パターンがベースラインから大きく外れたのを検知すると、マルウェアや攻撃者による遠隔操作などを疑い、管理者に警告（アラート）を通知する。

普段はしない活動を検知する仕組みであるため、システムに対する直接的な侵害行動や既知の攻撃手法などを用いていなくても不審な行動を割り出すことができる。発見されたばかりの脆弱性を利用するゼロデイ攻撃や、正規の利用権限を有する利用者が不正を行う内部不正などに特に有効であるとされる。

このような製品カテゴリが提唱された当初（2014年頃）は「UBA」（User Behavior Analytics：ユーザー行動解析）と呼ばれ、監視および行動解析の対象は利用者（のシステム上でのアカウント）に限られていたが、後にルータやファイアウォール、サーバ、クライアント、アプリケーションなどの機器やソフトウェアを意味する「エンティティ」が追加され、「UEBA」と呼ばれるようになった。

関連用語

人工知能

【AI】

アカウント

【account】

サーバ

【server】

トラフィック

【traffic】

ログ

【log】

ソリューション

【solution】

アプリケーションソフト

【application software】

ファイル

【file】

イベント

【event】

アクセス

【access】

サイバー攻撃

【cyberattack】

エンティティ

【entity】

ネットワーク

【network】

システム

【system】

ツール

【tool】

セキュリティ

【security】

リアルタイム処理

【real-time operation】

クラウド

【cloud】

ベースライン

【baseline】

リスク

【risk】