定義

振る舞いセキュリティレイヤーは、ユーザー、アプリケーション、またはネットワークトラフィックからのアクティビティパターンを監視および分析することに焦点を当てた高度なセキュリティメカニズムであり、「正常」な動作のベースラインを確立します。従来のアンチウイルスのような既知の脅威シグネチャだけに頼るのではなく、このレイヤーは確立されたベースラインからの逸脱を特定し、潜在的なセキュリティインシデントや異常としてフラグを立てます。

なぜ重要なのか

従来のセキュリティツールは、ゼロデイ攻撃や内部脅威に対してしばしば機能しません。なぜなら、これらの脅威は既存のシグネチャのいずれにも一致しないからです。振る舞いレイヤーはこの重大なギャップに対処します。物事がどのように振る舞うべきかを理解することで、シグネチャベースのシステムが見逃す可能性のある、資格情報スタッフィング、ラテラルムーブメント、または異常なデータ流出などの微妙で新しい攻撃を検出できます。このプロアクティブなアプローチは、悪意のあるアクターの滞留時間を大幅に短縮します。

仕組み

このプロセスは通常、いくつかの段階を含みます。

• データ収集： 大量のテレメトリデータ（ログイン時間、データアクセスパターン、コマンドシーケンス、ネットワークフロー）を収集します。
• ベースラインモデリング： 統計モデルまたは機械学習アルゴリズムを使用して、すべてのエンティティ（ユーザー、デバイス、アプリケーション）の典型的な動作プロファイルを作成します。
• リアルタイム監視： ライブアクティビティを学習されたベースラインと継続的に比較します。
• 異常スコアリング： アクティビティが大幅に逸脱した場合（例：ユーザーが午前3時に新しい国からログインし、直後に機密データベースにアクセスする場合）、システムはリスクスコアを割り当て、アラートまたは自動応答をトリガーします。

一般的なユースケース

• 内部脅威の検出： 信頼できる従業員が通常の職務範囲外のデータにアクセスし始めたことを特定します。
• アカウント乗っ取り (ATO) の防止： アカウントが侵害されたことを示すユーザーインタラクションパターンの微妙な変化を検出します。
• マルウェア検出： マルウェア自体が不明であっても、異常なシステムコールやリソース消費を示すプロセスを検出します。
• ネットワーク侵入検出： 内部ホスト間の異常なデータ転送量や通信パターンを特定します。

主な利点

• プロアクティブな防御： セキュリティ態勢を、受動的（既知の攻撃への対応）からプロアクティブ（未知の脅威の予測と阻止）へと移行させます。
• 誤検知の削減（調整済みの場合）： コンテキストを理解することで、正当だが異常なビジネスアクションと真の脅威を区別できます。
• 包括的なカバレッジ： シグネチャベースの防御を回避する、洗練された低速・緩慢な攻撃に対して効果的です。

課題

• ベースラインドリフト： 合法的なビジネス上の変更（例：新しいアクセスを必要とする新しいプロジェクト）がベースラインを陳腐化させ、誤検知につながる可能性があります。
• データ量と処理： 大量の高品質でクリーンなデータと、リアルタイム分析のためのかなりの計算能力が必要です。
• モデルのトレーニング： 初期設定には、複雑なエンタープライズ環境全体で「正常」な動作を正確にマッピングするための慎重な調整とトレーニングが必要です。

関連概念

振る舞いセキュリティレイヤーは、より広範なセキュリティフレームワーク内での振る舞いモデリングの具体的なアプリケーションであることが多いユーザーおよびエンティティの振る舞い分析 (UEBA) と密接に関連しています。また、振る舞い分析が「決して信頼せず、常に検証する」という原則を動的に強制するのに役立つため、ゼロトラストアーキテクチャとも交差します。