メインコンテンツまでスキップ
セキュリティ知識

UEBAとMonitorDog:内部者の異常行動検知を画面セキュリティまで拡張する

|
約14分
MonitorDogチーム
MonitorDogチーム
AI搭載ビジュアルハッキング防止ソリューション

セキュリティ事故は、必ずしも外部攻撃者がファイアウォールを突破して始まるわけではありません。退職を控えた従業員が顧客情報を閲覧する、委託先アカウントが普段とは違う時間帯にログインする、正規権限を持つユーザーが機密画面をスマートフォンで撮影する。こうした状況も十分に現実的な脅威です。

このような問題を扱うときによく登場する概念が UEBA(User and Entity Behavior Analytics) です。日本語では、ユーザーおよびエンティティ行動分析、またはユーザー異常行動分析と説明されます。要点は単純です。「このユーザーに権限があるか」だけで終わらせず、「いまの行動は普段と違っていないか」 も見るということです。

3分要約

  • UEBAは、ユーザー、アカウント、デバイス、アプリケーションなどの通常の行動パターンを基準に、異常な兆候を検知するセキュリティ手法です。
  • 内部脅威は正規権限を利用することが多いため、ログイン成功やアクセス権限だけではリスクを十分に判断できません。
  • MonitorDogは、画面撮影の試み、離席、複数人検知、スクリーンショット試行など、業務画面の前で起きる行動をイベントとして記録し、シナリオベースの疑わしい行動につなげることで、UEBAの可視性を画面セキュリティまで拡張します。

UEBAを一文で理解する

UEBAとは、ユーザーやシステム上のエンティティの通常行動を学習し、その基準から外れた行動をリスクシグナルとして捉える分析手法 です。

ここでいうユーザーには、従業員、管理者、外部委託先、パートナーアカウントなど、人が利用するアカウントが含まれます。エンティティには、PC、サーバー、アプリケーション、サービスアカウント、ストレージデバイス、IPアドレスなど、セキュリティイベントを生成する対象が広く含まれます。

従来のセキュリティは、主に定義済みのルールに基づいて動作していました。たとえば、禁止プログラムが実行されたら通知する、USBストレージが接続されたら記録する、権限のないユーザーが管理画面にアクセスしたら遮断する、といった方式です。こうしたルールは今でも必要です。しかし、内部脅威やアカウント乗っ取り攻撃は、ルールだけでは検知が難しいことがあります。

問題のユーザーが実際に正規権限を持っている可能性があるからです。そのためUEBAは、次のような問いを追加します。

  • このユーザーは普段よりも多くの機密画面を閲覧していないか?
  • 同じイベントが短時間に繰り返されていないか?
  • 普段とは違う場所、デバイス、時間帯で活動していないか?
  • 複数のシグナルが組み合わさることで、リスクが高まっていないか?

つまりUEBAは、単一のイベントを見る技術というより、行動の文脈を見る方法 に近いものです。

なぜ内部脅威にはUEBAが必要なのか

内部脅威が難しい理由は、攻撃者が「正常」に見えることです。

外部攻撃者は、マルウェア、脆弱性悪用、異常なネットワーク接続など、比較的わかりやすい痕跡を残すことがあります。一方、内部者は業務用アカウントでログインし、許可されたアプリケーションを使い、アクセス可能なデータに入ります。アカウントが乗っ取られた場合でも、表面上は正規ユーザーの行動に見えることがあります。

たとえば、次のような状況が考えられます。

  • カスタマーサポート担当者が、普段よりはるかに多くの顧客詳細画面を繰り返し閲覧する。
  • 特定の従業員のPCで、短時間に複数回のスクリーンショット試行が発生する。
  • リモートワーク中に、離席と顔認証失敗が繰り返される。
  • 機密業務画面を開いた状態で、スマートフォン使用イベントが連続して検知される。
  • 普段と異なるIPやデバイスから接続した後、キャプチャプログラムの実行が続く。

それぞれのイベントを個別に見ると、「あり得る行動」に見えるかもしれません。しかし、時間、ユーザー、デバイス、業務文脈を合わせて見ると、意味が変わります。UEBAはまさにこの場面で有効です。

UEBAが見る代表的なシグナル

UEBAが利用するデータは組織によって異なりますが、基本的なシグナルはおおむね共通しています。

1. ログインとアクセスパターン

接続時間、接続場所、IP、デバイス、ログイン成功・失敗回数は基本的な分析対象です。普段はソウルのオフィスで勤務しているアカウントが早朝に海外IPからログインしたり、短時間に認証失敗を繰り返したりする場合は確認が必要です。

2. データアクセスと利用量

通常より多い顧客情報の閲覧、大量ダウンロード、繰り返し検索、機密システムへのアクセス増加も重要なシグナルです。内部者事故は、一度の大きな行動ではなく、小さな行動の積み重ねとして進むことが少なくありません。

3. エンドポイントとアプリケーションの行動

禁止プログラムの実行、キャプチャプログラムの使用、外部ストレージ接続、異常なプロセス実行は、ユーザーの業務環境で発生する重要な行動データです。これらのシグナルは単独でも意味がありますが、ユーザーごとの基準線と組み合わせることで、より正確になります。

4. 物理的・視覚的な行動

UEBAの議論で見落とされやすい領域が、画面の前で起きる行動です。ユーザーが機密データをファイルとしてダウンロードしなくても、画面に表示してスマートフォンで撮影すれば、情報はすでに組織の外へ出てしまう可能性があります。

画面撮影の試み、複数人検知、離席、画面ロック解除失敗、スクリーンショット試行といったイベントは、内部者の異常行動を判断するうえで重要な補助シグナルになります。データが実際に露出する最後の接点は、多くの場合、画面だからです。

ルールベース検知とUEBAはどう違うのか

ルールベース検知は、「定義済みの条件が発生したか」を見ます。たとえば、1分以内にスマートフォン検知イベントが3回発生した場合、疑わしい行動として分類する、といった方式です。

UEBAはさらに一歩進みます。条件を満たしたかどうかだけではなく、その行動が特定ユーザーにとって普段と違うのか、直前にどのようなイベントが続いていたのか、同じ部署や同じ職務の一般的なパターンと比べてどれほど逸脱しているのかを見ます。

実務では、どちらか一方だけを選ぶ必要はありません。多くの場合、次のように併用します。

  • 明確に危険な行動はルールベースで迅速に遮断します。
  • 判断が難しいが繰り返される行動は、UEBAの観点で蓄積・分析します。
  • 複数の低リスクシグナルが組み合わさった場合、疑わしい行動へ昇格させます。
  • 管理者はレビューやコメントを通じて実際のリスクを判断し、ポリシーを調整します。

セキュリティ運用で重要なのは、すべての異常を自動的にインシデントと断定することではありません。確認すべきシグナルを見逃さず、対応の優先順位をつけること です。

MonitorDogはUEBAとどうつながるのか

MonitorDogは、従来型のUEBAプラットフォームを置き換えるものではありません。むしろ、UEBAが観測しにくかった 画面前のユーザー行動 をセキュリティイベントとして取り込む役割を担います。

MonitorDogエージェントは、ユーザーのPCで発生するさまざまな行動をイベントとして記録します。たとえば、スマートフォン使用、複数人検知、離席検知、ログインとログアウト、Webカメラのオン・オフ、ミーティングモード変更、スクリーンショット、顔認証の成功・失敗、システムショートカットなどがイベントになり得ます。

これらのイベントは、単なる記録で終わりません。管理者は管理コンソールでシナリオを作成し、特定イベントが短時間に過剰発生したり、許容範囲を超えたり、通常のユーザーパターンと一致しなかったりした場合に、疑わしい行動 として分類できます。

たとえば、次のようなシナリオが考えられます。

  • 1分以内にスマートフォン使用イベントが複数回発生した場合、「高」リスクの疑わしい行動として登録します。
  • 離席後に顔認証失敗が繰り返される場合、管理者承認またはパスワード再認証が必要なロックで対応します。
  • スクリーンショット試行と禁止プログラム実行が同じユーザーで繰り返される場合、「高」リスクの疑わしい行動として登録します。

こうすることで、「一度スマートフォンが見えた」という断片的なイベントではなく、誰が、いつ、どのデバイスで、どの文脈で、どの行動を繰り返したのか を基準に、内部者の異常行動を判断できます。

UEBAにおいて画面セキュリティが重要な理由

多くのセキュリティログは、システム内部で発生したことを記録します。ファイルを開いたか、ネットワークで送信したか、USBにコピーしたか、どのプロセスが実行されたか、といった情報です。

しかし、スマートフォンでモニターを撮影する行為は、システム内部イベントではありません。OSのスクリーンショットAPIを呼び出さず、ネットワークも通過せず、会社PCのファイルシステムにも痕跡を残しません。ユーザーの個人スマートフォンのカメラが、画面を画像として保存するだけです。

だからこそ、画面セキュリティはUEBAの観測範囲を広げます。内部脅威を現実的に扱うには、「アカウントが何をしたか」だけでなく、「情報が表示された瞬間、ユーザーが画面の前で何をしたか」 も見る必要があります。

MonitorDogは、WebカメラベースのAIモデルにより、画面周辺でのスマートフォン使用や複数人検知といったイベントを捉え、必要に応じて画面ロックや管理者承認フローにつなげることができます。イベント発生時点のスクリーン画像とWebカメラ画像はデフォルトで非公開処理され、管理者が確認する必要がある場合は、限定的なセキュリティ監査手続きを通じて閲覧する設計です。

このバランスは重要です。内部脅威を管理するには記録が必要ですが、その記録自体が新たなプライバシーリスクになってはいけないからです。

UEBA導入前に確認すべき質問

UEBAを導入したり、内部者の異常行動検知体制を整備したりする前に、まず次の問いを確認するとよいでしょう。

  • 自社で機密情報が最も頻繁に表示される画面はどこか?
  • 通常業務と異常行動を区別する基準線はあるか?
  • 単一イベントではなく、複数イベントの組み合わせを見られるか?
  • 疑わしい行動が発生したとき、誰がどの基準でレビューするか?
  • 画面撮影、離席、複数人検知のように、システム外で起きる物理的行動も観測できるか?
  • セキュリティイベント画像やログを閲覧する際、権限、理由、時間制限、履歴が残るか?

UEBAの目的は、従業員を疑う文化を作ることではありません。むしろ逆です。基準のない監視ではなく、明確なポリシーと記録に基づいて、本当に確認すべきリスクシグナルを区別する体制を作ることです。

実務適用の基本原則

第一に、最初からすべてを自動遮断しようとしないことです。業務環境によって正常行動の範囲は異なるため、初期段階ではイベントを記録し、レビューしながら組織に合った基準を調整するプロセスが必要です。

第二に、リスクレベルを分けることです。すべてのイベントを「高」リスクとして扱うと、セキュリティチームはすぐにアラート疲れに陥ります。反復性、機密データへのアクセス有無、時間帯、ユーザーの役割、物理的な画面露出リスクを合わせて、低・中・高に分類する必要があります。

第三に、対応手順を事前に決めることです。ある疑わしい行動は確認だけで十分かもしれませんが、別の行動では即時の画面ロックや管理者承認が必要になる場合があります。MonitorDogのシナリオ設定のように、ロックなし、ユーザー自身による解除、管理者承認が必要なロックを分けて適用すれば、業務継続性とセキュリティを同時に考慮できます。

第四に、監査可能な形で運用することです。セキュリティ担当者がイベント画像を確認する場合も、無制限の閲覧ではなく、理由と期間が記録されるべきです。MonitorDogのセキュリティ監査手続きのように、デフォルト非公開、限定時間の閲覧、履歴記録がある構造が重要です。

MonitorDog:内部者の異常行動検知を画面前まで拡張する

UEBAの核心は、「正規権限を持つユーザーの異常行動」を見逃さないことです。そして多くの情報漏えいは、権限のない人物がシステムをハッキングしたからではなく、権限を持つ人物が画面に表示された情報を不適切に扱うことから始まります。

MonitorDogは、この瞬間をセキュリティ運用の観測範囲に取り込みます。イベントを記録し、シナリオによって疑わしい行動としてまとめ、リスクレベルとレビュー状態を管理し、必要に応じてイベントロックやリモートロックで即時対応できます。

従来のUEBAがログイン、アカウント、ネットワーク、アプリケーションログを中心に内部脅威を分析するなら、MonitorDogはそこに 画面前の実際の行動 というシグナルを加えます。スマートフォン撮影の試み、複数人検知、離席、スクリーンショット試行など、既存ログだけでは見えにくかった瞬間を、記録可能なセキュリティイベントに変えるのです。

UEBAは、大規模な分析プラットフォームの名前である以前に、セキュリティ運用の基本的な問いです。

「このユーザーのこの行動は、いま正常なのか?」

この問いを画面セキュリティまで拡張すると、内部脅威への対応はより現実的になります。機密情報が最終的に露出する接点は画面であり、その画面の前で何が起きているかを見られてこそ、内部者の異常行動検知は完成に近づきます。

MonitorDogが実際の業務環境でスマートフォン撮影の試みや疑わしい行動をどのように検知・記録するのか確認したい場合は、無料デモをお申し込みください。

デモを申し込む

参考資料

関連コンテンツ

一覧を見る

security

2026年6月11日

ゼロトラストとは何か:画面セキュリティとつなげて理解する
security

2026年6月2日

2026年DBIRに見る企業セキュリティの盲点:脆弱性悪用は高速化し、情報流出はなお画面から始まる
security

2026年4月24日

ログに残らない情報流出:スマートフォン撮影事故が遅れて発覚する理由