サイバー脅威ハンティングとは?
サイバー脅威ハンティングは、未知の脅威や検出されていない脅威を、組織のネットワーク、エンドポイント、データの全体にわたってプロアクティブに探すプロセスです。
サイバー脅威ハンティングのしくみ
サイバー脅威ハンティングでは、システム内またはネットワーク内の潜在的な脅威や攻撃を先制的に探すために、脅威ハンターを利用します。そうすることで、人間の手によるサイバー攻撃の手口がますます複雑化している状況に俊敏かつ効率的に対応できます。従来のサイバーセキュリティ手法はセキュリティ侵害を判明後に特定するものであるのに対し、サイバー脅威ハンティングは、何らかの侵害が既に発生しているという仮定のもとで実行されます。このため、潜在的な脅威を検出直後に特定し、適応、対応することができます。
巧妙な攻撃者は、組織への侵入に成功した後も、数日、数週間、あるいはそれ以上、セキュリティ侵害の事実に気付かせないことがあります。組織で既に運用しているセキュリティ ツール プロファイルに、EDR (エンドポイントでの検出と対応) や SIEM (セキュリティ情報イベント管理) などのサイバー脅威ハンティングを追加することは、自動化セキュリティ ツールでは必ずしも検出しきれないような攻撃の防止と修復に役立ちます。
自動化された脅威ハンティング
サイバー脅威ハンターには、実行するプロセスのうち一定の側面を機械学習、オートメーション、AI によって自動化できる能力があります。SIEM や EDR などのソリューションを活用することは、潜在的な脅威への監視、検出、対応によって、脅威ハンターに効率よくハンティング手順を実行させるために役立ちます。脅威ハンターには、さまざまな脅威に対応するためにさまざまなプレイブックの作成して自動実行する機能があり、似た攻撃が発生したときの IT チームの負担を軽減できます。
サイバー脅威ハンティングのツールとテクニック
脅威ハンターには、連携して機能する SIEM や XDR のようなソリューションなど、自由に使えるツールが多数提供されています。
3 種類のサイバー脅威ハンティング
サイバー脅威ハンティングは、通常、以下 3 つのうちいずれかの形式で行われます。
構造的:構造的ハンティングでは、脅威ハンターが、潜在的な脅威の兆候と考えられる疑わしい TTP (戦術、テクニック、手順) を探します。データやシステムに注目して侵害者を探すのではなく、潜在的な攻撃者の手法について仮説を立て、その攻撃手法に合致する兆候を特定するための系統的な動作を実行します。構造的ハンティングはプロアクティブな性格が強いアプローチであるため、この戦術を採用すると、IT プロフェッショナルは多くの場合に攻撃者の傍受や阻止を迅速に行えます。
非構造的:非構造的ハンティングでは、サイバー脅威ハンターが侵害の痕跡 (IoC) を探し、痕跡の始点から検索を実行します。脅威ハンターは履歴データをさかのぼってパターンや手がかりを検索できるため、非構造的ハンティングでは、まだ組織のリスクとして存在し続けているにもかかわらず検出されていなかった脅威を特定できる場合があります。
状況的:状況的な脅威ハンティングでは、そのデジタル エコシステム内にある特定のリソースやデータを重視します。たとえば、組織において特定の従業員や資産が最大のリスクになっているとの評価が下されたとき、サイバー脅威ハンターに、そのリスクに該当する脆弱な人、データセット、エンドポイントなどに対する攻撃の防止や修復を集中的に行わせます。
脅威ハンティングの手順と実装
サイバー脅威ハンターは、多くの場合、以下の基本的な手順に従って脅威や攻撃の調査と修復を行います。
- 特定の潜在的な脅威についての仮説を作成する。たとえば、脅威ハンターは、攻撃者の一般的な TTP を把握することから作業を開始する場合があります。
- 調査を実施する。脅威ハンターは、組織のデータ、システム、アクティビティを調査し (ツールとして SIEM ソリューションが役立つことがあります)、関連情報の収集と処理を行います。
- トリガーを特定する。脅威ハンターが調査の出発点を見極める際には、調査結果やその他のセキュリティ ツールが役立ちます。
- 脅威を調査する。脅威ハンターは、調査ツールとセキュリティ ツールを使って、その脅威が悪意によるものかどうかを判断します。
- 対応して修復する。脅威ハンターは、対応アクションを取って脅威を解決します。
ハンターが検出できる脅威の種類
サイバー脅威ハンティングでは、以下のような異なる種類の脅威を特定することができます。
- マルウェアとウイルス:マルウェアは、エンドポイント デバイスへのアクセス手段を不正に獲得し、通常のデバイスの使用を妨げます。フィッシング攻撃、スパイウェア、アドウェア、トロイの木馬、ワーム、ランサムウェアは、いずれもマルウェアの一種です。ウイルスは、マルウェアのさらに一般的な形式の 1 つです。デバイスの通常の動作に干渉してデータの記録、破損、削除などを実行し、さらに、ネットワーク上の他のデバイスへも伝染するように作られています。
- 内部関係者による脅威:内部関係者による脅威は、組織のネットワークへのアクセスを許可されている個人に起因します。悪意による場合と、不注意や過失による場合がありますが、いずれにせよ、内部関係者の行動によって、組織のネットワーク、データ、システム、または施設に悪用や損害が発生します。
- 高度で持続的な脅威:巧妙なアクターは、組織のネットワークに侵入するだけでなく、その事実が検出されない状態をある程度の期間維持することができ、高度で持続的な脅威となります。そのような攻撃者は、高度なスキルと、多くの場合には潤沢なリソースを持っています。
ソーシャル エンジニアリング攻撃:サイバー攻撃者は、改ざんや詐欺の手法で組織の従業員をあざむき、アクセスや機密情報を提供させることがあります。ソーシャル エンジニアリング攻撃の一般的な種類としては、フィッシング、ベイティング (わな)、スケアウェアなどがあります。
サイバー脅威ハンティングのベスト プラクティス
貴社の組織にサイバー脅威ハンティングのプロトコルを実装する際は、以下のベスト プラクティスに留意してください。
- 脅威ハンターから見て組織の完全な可視性が確保されるようにする。脅威ハンターは、状況の全体像を完全に把握できると最も効果的に機能します。
- SIEM、XDR、EDR など、補完的なセキュリティ ツールのメンテナンスを続ける。これらのツールから提供される自動化機能とデータを活用することで、サイバー脅威ハンターは脅威特定のスピードと状況把握の詳細度をいっそう高め、迅速に問題を解決することができます。
- 新たに出現した脅威や攻撃戦術に関する情報のチェックを欠かさない。攻撃者とその戦術は常に進化しているため、脅威ハンターには、現行のトレンドに関する非常に新しいリソースを供給しておくことが重要です。
- 不審な行動の発見と報告に関する従業員トレーニングを行う。常に従業員への情報提供を続けることで、内部関係者による脅威が発生しにくくなります。
- 脆弱性管理を実装して、リスクに対する組織の露出度を全体的に縮小しましょう。
脅威ハンティングが組織にとって重要な理由
悪意を持ったアクターの攻撃方法がますます巧妙化し続ける現状においては、組織がプロアクティブなサイバー脅威ハンティングに投資することは不可欠です。受動的な脅威対策を補完する形でサイバー脅威ハンティングを導入すれば、セキュリティの不備を埋めることができ、従来の方法では検出できない脅威に対応して修復を行えるようになります。巧妙な攻撃者からの脅威が増大する中、組織は、機密データの取り扱いについて信頼を裏切らないためにも、また、セキュリティ侵害によるコストの発生を抑えるためにも、防御力を強化する必要に迫られています。
Microsoft Sentinel のような製品は、クラウド規模での履歴データ収集、保存、アクセスを実現し、調査態勢を合理化、一般的なタスクを自動化して、常に脅威対策の先手を取り続けるために有効です。このようなソリューションは、サイバー脅威ハンターの強力なツールとなり、組織を脅威から守り続けるために役立ちます。
Microsoft Security の詳細情報
よく寄せられる質問
-
サイバー脅威ハンティングの一例として、仮説ベースのハンティングがあります。これは、攻撃者によって採用されそうな疑わしい TTP (戦術、テクニック、手順) を見極め、組織のネットワーク内でそれらが行われている痕跡を探す方法です。
-
脅威検出はアクティブなサイバーセキュリティ アプローチで、多くの場合は自動化されています。一方、脅威ハンティングは、プロアクティブで自動化されていないアプローチです。
-
セキュリティ オペレーション センター (SOC) は、組織のサイバーセキュリティ態勢の改善、脅威の防止、検出、対応を担当する、一元化された機能またはチームです。オンサイトの場合とアウトソーシングされている場合があります。サイバー脅威ハンティングは、SOC が脅威の特定と修復を行う際に使用する戦術の 1 つです。
-
サイバー脅威ハンティング ツールは、IT チームや脅威ハンターが利用して脅威の検出と修復に役立てることができるソフトウェア リソースです。脅威ハンティング ツールの例としては、ウイルス対策とファイアウォール保護、EDR ソフトウェア、SIEM ツール、データ分析などがあります。
-
サイバー脅威ハンティングの主な目的は、高度な脅威や攻撃を、組織に害を及ぼす前にプロアクティブに検出して修復することです。
-
サイバー脅威インテリジェンスは、サイバーセキュリティ ソフトウェアによって、サイバー攻撃からの保護をより的確に行うためにセキュリティ プロトコルの一部として収集される情報とデータです。多くの場合、収集は自動的に行われます。脅威ハンティングでは、脅威インテリジェンスから収集した情報が取得され、その情報が、脅威の検索と修復のために仮説作成やアクションに利用されます。
Microsoft Security をフォロー