ユーザーとエンティティの振る舞い分析(UEBA)を活用してクラウドセキュリティを実現

This post is also available in: English (英語)

クラウドセキュリティの導入は、クラウドに移行するあらゆる企業にとって非常に重要な要素です。Infrastructure as a Service (IaaS)やPlatform as a Service (PaaS)などによりさまざまなアカウントや地域にクラウドの範囲が拡張され、その広大な環境内の複数のユーザーに特権アクセスを付与するようになると、クラウド移行においてユーザーアクティビティのモニタリングが絶対に欠かせない要件であることが明白になってきます。

極端に言うと、ユーザー行動のモニタリングとは次の2つの兆候を探すことを意味します。

侵害された可能性のある認証情報
悪意ある内部関係者の脅威

高度な攻撃者は、不正にアクセスした認証情報を使って環境に大損害を与えることができます。あらゆるクラウドネイティブセキュリティプラットフォーム(CNSP)の重要な機能であるユーザーとエンティティの振る舞い分析(UEBA)エンジンを活用することで、セキュリティ上の注意が必要なアクティビティを特定できるようになります。認証情報の侵害や内部関係者の脅威を示す可能性があるこうしたアクティビティには、特権ユーザー(またはルートユーザー)による高リスクな行動、セキュリティグループの変更、IDおよびアクセス管理(IAM)における設定の更新などが該当します。

早い段階で検知して阻止することで、これらの攻撃がクラウド環境の侵害ポイントに到達するのを防ぐことができます。

ユーザー行動のモニタリングにUEBAを使用しない場合

UEBAを導入していない企業がモニタリングに着手する場合、一般的には、クラウドプロバイダが提供するツールや機能を使った調査から始めます。クラウドサービスプロバイダ（CSP）各社は、自社のクラウド環境を評価するため、ガバナンス、コンプライアンス、運用に関する監査、リスク監査などの機能を提供しています。この評価作業は、AWSのCloudTrail、Azureアクティビティログ、GoogleのStackdriverログなどの監査ログを使用した、イベント履歴を中心としたものになります。監査ログを入手することで、クラウド環境におけるアクティビティの履歴や、それらのアクティビティを実行したユーザーを確認することができます。

これらのログを手動で確認しようとすると、特にマルチクラウド環境では多くの時間とリソースが必要になります。このため多くのお客様がセキュリティ情報およびイベント管理(SIEM)ツールなどにログを送信し、これらのツールでデータの分析とクエリを実行することで、詳細情報を発見し、パターンを確立し、イベントを調査しています。しかし残念ながら、このプロセスはパブリッククラウドではうまく機能しません。生成されるデータがあまりにも多く、プロセス自体にクラウドのコンテキストが一切組み込まれていないためです。こうしたデータに基づいてセキュリティに関する的確な意思決定を下そうとするのは現実的ではありません。したがって、これを効果的に行うには、Prisma Cloudやその他のCNSPに搭載されている機械学習(ML)機能を活用することが最善の選択肢となります。

Prisma CloudのUEBA

Prisma Cloudでは、MLを活用することにより、クラウド環境におけるセキュリティ侵害インジケーター(IoC)の検出作業から人的要素を排除できます。

UEBAエンジンは、自律システムを使用してさまざまなソースから送られてくるログをモニタリングし、「正常」なアクティビティのベースラインを確立します。そして、こうして構築したモデルに基づいて異常な動作の特定を開始します。Prisma Cloudはこのデータを使用して、セキュリティ部門またはセキュリティオペレーションセンター(SOCまたはSecOps)に、発見された異常な行動をアラートで通知します。

このアラートは、変更を加えたユーザー、変更の内容、変更された期間、変更に使用されたデバイス、変更されたリソース、変更の実行元、変更の結果など、豊富なクラウドコンテキストを正確に提供するため、既に作業に忙殺されているクラウドSOCチームの負担を大幅に解消することができます。また、確認するアラートの特性上、アラートの原因となった関連イベントを調査できれば理想的ですが、Prisma Cloudの動的な調査機能により、異常を通知するアラートに関する詳細情報や、アラート生成前に確立されていたパターンを、すばやく把握できます。