第60回
UEBA購入ガイド:適切なソリューションの選び方
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
Varonisの「データセキュリティ」コラムの第60回目では、「UEBA購入ガイド:適切なソリューションの選び方」と題して、UEBAの必要性と、最新の脅威検出環境においてUEBAが埋められる隙間、そして強力なソリューションに必要な要素を解説する、Jonathan Villa(Varonisのコンテンツマーケティングマネージャー)のブログ記事をご紹介します。
ユーザーとエンティティーの振る舞い分析 (UEBA) は、回復力のデータセキュリティ戦略の鍵です。ネットワーク内に異常がないかを綿密に監視することにより、新たな脅威を簡単に検出できるようにします。
UEBAがなければ、機密性の高いデータの漏洩や侵害のリスクは急増します。実際、データの誤用が関連する内部インシデントが漏洩事故の2番目に多い原因です。これに対抗するため、セキュリティスタックにUEBAを実装する組織がますます増えています。
ただし、UEBAに対するアプローチによっては、誤検出や雑音が発生し、セキュリティ部門に負担を掛ける可能性があります。
このガイドでは、堅牢なUEBAソリューションを構成する機能に焦点を当て、CISOが将来の実装の効果を最大化するための評価のポイントをご紹介します。
最新の脅威検出における隙間
データは、ほとんどすべてのサイバー攻撃や内部者脅威の標的となっています。しかし、従来のセキュリティ製品は、現代の脅威概況に合わせた進化を十分にしておらず、組織をデータに盲目にしていることがよくあります。
最近起きたCoinbaseの侵害は、不正な内部ユーザーが組織のデータを改竄してしまう可能性を浮き彫りにしています。UEBAは異常なアクティビティを検出し、内部者脅威や意図しないデータの露出を示す可能性のあるアクティビティを担当部門に通知することができます。
他の最新の脅威検出ソリューションと比較した場合、UEBAは、オンプレミス環境とあらゆるクラウドの両方でデータ資産の全体像を提供することができます。
注目すべき脅威検出機能
データの全体像が把握できない従来のソリューションでは、静的な閾値ベースのアラートを提供していますが、このアラートは文脈が欠如し、過剰な雑音を発生させ、手動調整が必要となります。これでは、セキュリティチームがすでに直面しているアラート疲れに拍車を掛けるだけです。
脅威検出ではこれらのアプローチに注意してください:
• 閾値またはルールベースのアラート:ユーザーが1分間に100個以上のファイルを変更した場合にアラートを発報するといった、単純なルールベースのアラートは、手作業による設定が必要であり、誤検出につながります。このため、ステルス攻撃や内部者脅威に気付かないリスクが高まります。
• データの検出とデータへの対応 (DDR):DDRアラートは、Amazon S3バケットが一般公開された場合などの構成アラートに重点を置いています。このようなアラートには価値があるにもかかわらず、この構成変更の前後に何が起こるかについて文脈がほとんど提供されないため、手作業で調査を続けることになります。
• 内部者リスク管理 (IRM):内部者リスクを監視することは重要ですが、IRMソリューションではリスクの完全な文脈を担当部門に提供することができません。UEBA機能により、データの持ち出し、特権昇格、電子メールの侵害などの脅威を検出することができます。
どんなに小さな攻撃ベクトルでも、ハッカーにとっては金脈になる可能性があります。強力なUEBA機能により、セキュリティ部門は、業務に支障を来したり、大量のアラートを送信することなく、リスクを防止するために必要な可視性を得ることができます。
UEBAに求められる正しい要素
組織にUEBA機能が必要な場合には、すべての潜在的な隙間に包括的に対処できるソリューションを選択することが極めて重要です。UEBA機能を評価する際には、ベンダーがビジネス上の必要性に適した機能を備えていることを確認してください。
複数チャネルのデータの取り込み
ベンダーがデータ資産に完全にアクセスできることを確認します。もし、組織が利用しているファイルストレージ、SaaSアプリケーション、電子メール、IaaS、データベースのすべてをカバーできない場合、可視性や保護が制限を受けることになります。このため、悪意あるアクティビティがまったく検出されない可能性があります。
Varonisを使用すると、最大かつ最重要のデータストアやアプリケーションで、クラウドとファイアウォールの背後で、企業データが保護されます。これにより、比類のない可視性、迅速な脅威検出、迅速な修正が可能になります。
信頼性の高いUEBAアラート
新たな脅威をすべて把握しようとすれば、アラートは必要不可欠です。とはいえ、アラートは、解釈しやすく、確実に正確なものでなければなりません。担当部門が、数百件もの狼少年アラートに翻弄されていると、脅威を見逃してしまう可能性があります。
Varonisは、機械学習に基づいて構築された数百種類もの予測、振る舞いをベースにした脅威モデルを使用して、資産全体にわたるデータに対する異常なアクティビティを自動的に検出します。これにより、アラートの強度が増し、ノイズが抑制されます。
調査のための詳細なエビデンス
脅威の全容を把握するための豊富な監査証跡。すべてのアクティビティに関する詳細で強化されたログがあれば、セキュリティ部門は、SIEMやその他のセキュリティツールにアクセスして追加のエビデンスを集める必要なく、迅速なアクションを取ることができます。
Varonisは、オンプレミスとクラウド環境のデータに対して、完全で検索可能、人間が読めるイベントの監査証跡を提供します。各イベントは、ユーザーの種類、データの機密性、地理的位置のような詳細なメタデータで分類されます。Varonis独自のAI分析エンジン「Athena AI」を使用することにより、担当部門は自然言語を使用して調査を自動化することができます。
対応の自動化
UEBAで脅威を検出することは非常に有用ですが、組織のデータとアクティビティの膨大な深さと幅を管理するためには、脅威に自動的に対応することが不可欠です。
VaronisはAIを使用して、人間の介入を必要とせずに、自動的に調査を行い、脅威に対応し、アラートを閉じます。セキュリティ部門にアラートをエスカレーションする際に、問題を修正するためのカスタマイズされた推奨事項が提示されます。
信頼できる専門知識
脅威アクターは眠りません;24時間休みなく、組織に侵入する手法を習得しています。とはいえ、リソースに制約のあるセキュリティ部門を抱える組織では、データ侵害の継続的な監視が困難な場合があります。単に脅威を特定するだけではなく、複雑な脅威を軽減する手助けをしてくれるパートナーを探すことが、最も重要です。
Varonisのデータの検出とデータへの対応のマネージドサービス (MDDR) では、Varonisのグローバルなデータセキュリティ専門家による24時間365日のインシデント対応とアラート監視、セキュリティ態勢管理を提供します。業界最高水準のSLAにより、Varonisは担当部門に迅速な応答時間、積極的な脅威ハンティングと毎月のセキュリティアセスメントを提供し、セキュリティ態勢を常に改善します。
UEBAベンダーに尋ねるべき質問
何百とあるUEBA機能を提供しているベンダーに尋ねたい質問の中では、すべては、全体的な目標をベンダーがどのように支援できるかに帰着します:大規模かつリアルタイムにデータを積極的に保護する方法です。
UEBAベンダーと話をするときは、必ず次の質問をしてください:
• 統合エコシステムはどうなっていますか?
• 振る舞いベースのアラートをエスカレーションして解決するためにすぐに利用可能な機能はどのようなものですか?
• 貴社とどのように協業できますか?
• 貴社のソリューションは、実施すべきアクションについての推奨事項を提供しますか?
これらの質問に対する答えでは、すべての機密性の高いデータがどこにあるのかを積極的に把握し、アクセスできるユーザーを制限し、環境を可視化する能力を示す必要があります。そうすれば、インシデントが発生した場合に、機密性の高いデータが影響を受けたかどうかを常に把握することができます。
UEBAから先へ
高度な脅威検出は、データに対する脅威を監視する上で不可欠ですが、それだけでは防止には不十分です。
どのようなソリューションを導入するにしても、UEBAに止まらず、データ分類、アクセス、アクセス許可の監視もサポートする必要があります。これらの側面に対処できない場合には、そのソリューションが全体的な目的に合致しているかどうかを再評価する必要があるかもしれません。
UEBAを更に進化させる方法については、VaronisのUEBA購入ガイドをダウンロードしてください。
貴社のデータ。Varonisの使命。
このガイドが、お客様が求めている成果を推進できるUEBAベンダーを見つけるための一助になれば幸いです!ご不明な点がございましたら、お気軽にお問い合わせください。
参考資料
・オリジナルブログ記事(英文)
https://www.varonis.com/blog/ueba-buyers-guide
・Varonis「UEBA購入ガイド」
https://view.highspot.com/viewer/7732d52b4e6819581578c136a2a6d185
・Best Practices: Insider Risk Management (Forrester Research) (英文)
https://www.forrester.com/report/best-practices-mitigating-insider-threat/RES134865
・Over 69K hit by Coinbase breach (SC Media) (英文)
https://www.scworld.com/brief/over-69k-hit-by-coinbase-breach
・当コラム 第41回「データセキュリティとインシデント対応を変革するVaronisのAthena AI」
https://www.innovations-i.com/column/data-security/41.html
ブログ記事著者について
Jonathan Villa
JonathanはVaronisのコンテンツマーケティングマネージャーです。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第60回 UEBA購入ガイド:適切なソリューションの選び方
- 第59回 データセキュリティレポート、99%の組織がAIに機密性の高いデータを露出していることが明らかに
- 第58回 DLPソリューションに求められるゼロトラストルネッサンス
- 第57回 情報漏洩防止 (DLP) とは?
- 第56回 データセキュリティ態勢管理 (DSPM) とは?
- 第55回 データセキュリティはチーム競技
- 第54回 Varonis for Microsoft 365 Copilotの概要
- 第53回 火傷をしないために:Azureのネットワークとファイアウォールでよくある構成不備の特定と修正
- 第52回 データの発見と分類:データのスキャン方法の重要性
- 第51回 クラウドセキュリティの問題を発見して修正するAzure Access Graphのご紹介
- 第50回 VaronisがCyralを買収、データベースアクティビティ監視を刷新
- 第49回 Varonis Data Lifecycle Automationによるデータガバナンスの合理化
- 第48回 クラウドセキュリティとは?
- 第47回 クラウドガバナンスを理解するための包括的なガイド
- 第46回 役割ベースのアクセス制御 (RBAC) とは?
- 第45回 データセキュリティ態勢管理 (DSPM): 最高情報セキュリティ責任者 (CISO) のためのベストプラクティスガイド
- 第44回 パラダイム転換:データセキュリティが遂に中心的な役割を果たすようになった理由
- 第43回 AWSのS3バケットを狙うランサムウェア:攻撃者による暗号化を防止する方法
- 第42回 DeepSeekを見つける: シャドゥAIの見つけ方、止め方
- 第41回 データセキュリティとインシデント対応を変革するVaronisのAthena AI
- 第40回 IDがデータセキュリティにおける最大の死角となってしまっている理由
- 第39回 Microsoft 365の新機能「組織メッセージ」の潜在的なリスク
- 第38回 サイバーセキュリティ啓発のヒント10選:積極的な安全確保
- 第37回 古いデータを効率的にアーカイブするための4つのポイント
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり
