情報処理安全確保支援士 2025年 秋期 午前2 問14
問題文
UEBAの機能はどれか。
選択肢
ア:指紋、静脈などの身体的特徴によって本人確認を行う。
イ:情報への論理的アクセスを制御する。
ウ:データをUSBメモリに格納する際に暗号化する。
エ:利用者や機器の異常な振る舞いを検知する。(正解)
UEBAの機能はどれか。【午前2 解説】
要点まとめ
- 結論:UEBA(User and Entity Behavior Analytics)は、ユーザや機器の行動を学習して通常とは異なる振る舞いを検知し、インシデントの早期発見に用いる機能です。
- 根拠:過去の行動ログからベースラインを構築し、機械学習や統計的手法で逸脱を検出する点がUEBAの本質だからです。
- 差がつくポイント:認証・アクセス制御・暗号化は別技術で、UEBAは「振る舞い(行動)」を監視して異常を見つける行動分析ツールである点を押さえてください。
正解の理由
正解は エ です。UEBAはUser and Entity Behavior Analyticsの略で、ユーザや端末・サービスなどの「エンティティ」の振る舞いを継続的に分析し、通常のパターンから逸脱した行動(例:深夜の大量ダウンロード、普段アクセスしないデータへのアクセス、異常なプロセス開始など)を検知してアラート化します。振る舞いの変化検出を目的としており、署名や単純なルールベース検出よりも高度な分析(統計・機械学習)が用いられます。
よくある誤解(2〜3 行)
UEBAは本人確認(生体認証)やアクセス制御、データ暗号化を提供するものではありません。これらは別のセキュリティ層で、UEBAは行動から異常を検出する分析技術です。
解法ステップ
- UEBAの略称と目的を思い出す(User and Entity Behavior Analytics=行動分析)。
- 選択肢を「認証」「アクセス制御」「暗号化」「異常行動検知」の4種に分類する。
- UEBAは行動分析なので「異常な振る舞いを検知する」選択肢に該当することを確認する。
- 他の選択肢(ア:生体認証、イ:アクセス制御、ウ:暗号化)はそれぞれ別技術であると排除する。
- 最終的にエを選択して正答とする。
選択肢別の誤答解説
- ア: 指紋、静脈などの身体的特徴によって本人確認を行う。→ これは生体認証(バイオメトリクス)に該当し、UEBAとは別機能です。
- イ: 情報への論理的アクセスを制御する。→ これはアクセス制御(IAM、アクセス管理)であり、UEBAの役割ではありません。
- ウ: データをUSBメモリに格納する際に暗号化する。→ これはデータ保護(暗号化・DLP等)の機能で、UEBAではないです。
- エ: 利用者や機器の異常な振る舞いを検知する。→ 正解。UEBAの定義に合致します。
補足コラム(関連知識など)
- UEBAはしばしばSIEMやEDRと組み合わせて使われます。SIEMがログ収集とルールベース解析を担い、UEBAが行動ベースの検出で補完します。
- 検出手法は教師あり学習・教師なし学習・統計的閾値など多様で、環境に応じたチューニングが必要です。誤検知(false positive)を減らすためにコンテキスト情報(職務・役割・端末)を活用します。
- プライバシー観点での配慮も重要で、収集データの範囲と保存期間の設計が求められます。
FAQ
Q: UEBAはリアルタイムで検知できますか?/A: 多くは準リアルタイムでの検知が可能ですが、処理性能やデータ収集の頻度に依存します。即時対応にはEDR等と連携することが一般的です。
Q: UEBAだけで侵害対応は完結しますか?/A: いいえ。検知はできますが、対応(隔離、遮断、フォレンジック)は他のツールや運用プロセスと組み合わせる必要があります。
Q: UEBAだけで侵害対応は完結しますか?/A: いいえ。検知はできますが、対応(隔離、遮断、フォレンジック)は他のツールや運用プロセスと組み合わせる必要があります。
関連キーワード: UEBA, ユーザ行動分析、異常検知、行動ベースのセキュリティ、SIEM, EDR, 機械学習、ベースライン分析
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!