CORPORATE SEARCH検索

脅威ハンティングとは?代表的な種類やモデル、実施手順を詳しく解説

「脅威ハンティングとは何か、その仕組みや種類が気になる」という疑問がある方もいるのではないでしょうか。

脅威ハンティングとは、組織のネットワーク内に潜む未知の脅威を能動的に探索し、検出するアプローチのことです。

従来の防御一辺倒のセキュリティ対策だけでは限界があり、高度なサイバー攻撃に対応するために、脅威ハンティングの重要性が高まっています。

ただし、脅威ハンティングを効果的に実施するには、適切な手法やモデルの選択、専門スキルを持つアナリストの確保が欠かせません。

この記事では、脅威ハンティングの仕組みや種類、モデル、実施手順について詳しく解説します。

目次

[ 開く ] [ 閉じる ]
  1. 脅威ハンティングとは
  2. ペネトレーションテストとの違い
  3. インシデント対応との違い
  4. 脅威ハンティングの仕組み
  5. 脅威ハンティングが注目されている理由
  6. 脅威ハンティングの種類
  7. 構造化ハンティング
  8. 非構造化ハンティング
  9. 状況ハンティング(エンティティ駆動型)
  10. 脅威ハンティングのモデル
  11. インテリジェンス・ベースのハンティング
  12. 仮説ハンティング
  13. ハイブリッドハンティング
  14. 脅威ハンティングの実施手順
  15. トリガー
  16. 調査
  17. 解決
  18. まとめ

脅威ハンティングとは

脅威ハンティングとは、組織のネットワーク内に潜む未知の脅威を能動的に探索し、検出するアプローチのことです。

従来のセキュリティ対策では防ぎきれない高度な脅威に対処するために、脅威ハンティングは重要な手法として注目されています。

ネットワーク内の不審な動きを能動的に監視・分析することにより、潜在的なリスクを見つけ出し、状況に合った適切な対策を講じることができるのです。

脅威ハンティングは、サイバーセキュリティ体制の強化に欠かせないアプローチといえるでしょう。

ペネトレーションテストとの違い

ペネトレーションテストは、外部から既知の脆弱性を突いてシステムの弱点を洗い出す手法です。

専門家が擬似的な攻撃を行い、セキュリティ上の問題点を特定することで、対策の優先順位を明確にできます。

ただし、ペネトレーションテストは主に既知の脆弱性に焦点を当てており、未知の脅威を見つけ出すことは困難です。

一方で脅威ハンティングは、内部から未知の脅威を探索し、検出することに重点を置いています。

ネットワークやエンドポイントのデータを分析して、異常な動きを見つけ出すことで、ゼロデイ攻撃などの新しい脅威に対処することができるのです。

ペネトレーションテストの目的や手法については、以下の記事で詳しく解説しています。

【関連記事】ペネトレーションテストの意味|その目的や脆弱性診断との違いとは

インシデント対応との違い

インシデント対応は、セキュリティ侵害が発生した後の事後対応が中心となります。

被害状況の把握や原因究明、復旧作業など、事態の収束に向けた一連の活動がインシデント対応に含まれます。

迅速かつ適切な対応により、被害の拡大を防ぎ、事業継続性を確保することが重要です。

それに対し、脅威ハンティングはインシデントが発生する前に脅威を検出し、未然に防ぐことを目的としています。

脅威ハンティングとインシデント対応は、セキュリティ対策の異なる局面で機能する仕組みであり、両者を適切に組み合わせることが理想的といえます。

脅威ハンティングの仕組み

脅威ハンティングでは、組織のネットワークやエンドポイントから収集したデータを分析して、異常な動きを検知します。

具体的には、ログデータやネットワークトラフィック、エンドポイントの挙動などを詳細に調査し、通常とは異なるパターンや不審な活動を見つけ出す仕組みです。

サイバー脅威ハンターは、企業のセキュリティに人間の要素を踏まえつつ、自動化されたシステムを補完しようとします。

機械学習などの技術を活用してデータ分析を効率化する一方で、人間ならではの洞察力と想像力を発揮して、未知の脅威を突き止めるのです。

この作業には専門的な知識や経験が求められるため、その業務を熟知しているアナリストによる実施が好ましいといえます。場合によっては、外部のアナリストを起用するケースも考えられます。

脅威ハンティングが注目されている理由

機械学習やAIを活用した自動化システムは、既知の脅威には一定の効果を発揮しますが、未知の脅威を見抜くことは難しいとされています。

攻撃者は常に新しい手口を開発しており、自動化されたセキュリティ対策では対応しきれないケースが増えているのです。

そこで注目されているのが、人間の専門知識と経験を活かした脅威ハンティングです。

熟練したアナリストが能動的にネットワークを監視・分析することで、未知の脅威を早期に発見し、被害を最小限に抑えることができます。

攻撃を受けた時の被害リスクが大きい大企業であるほど、脅威ハンティング実施の重要性が高まっています。

脅威ハンティングの種類

脅威ハンティングには、大きく3つのアプローチがあります。以下、それぞれの特徴を詳しく解説します。

構造化ハンティング

構造化ハンティングは、既知の攻撃手法や脆弱性を基にして探索する手法です。

過去のインシデントデータや脅威インテリジェンスを活用し、類似の脅威を見つけ出すのが特徴です。

明確な目的と手順を定めて、体系的にネットワークを調査することができます。ただし、全く新しいタイプの脅威を発見することは難しいといえるでしょう。

そのため構造化ハンティングは、既知の脅威への対策を強化する上で効果的なアプローチといえます。

非構造化ハンティング

非構造化ハンティングは、経験豊富なアナリストの知見を基にした探索手法です。

事前定義された基準や仮説に依存しない手法であり、ハンティング結果は調査するアナリストの力量に左右されます。

ネットワークやエンドポイントの異常な動きを直感的に察知し、未知の脅威を発見するのが主な目的です。

柔軟に調査の方向性を変え、手がかりを追跡することで、構造化ハンティングでは得られない結果や対策方法を導き出します。

ただし、アナリストの負担が大きく、再現性や拡張性に課題がある点には注意が必要です。

状況ハンティング(エンティティ駆動型)

状況ハンティングは、特定のシステムや資産、アカウント、データに焦点を当てて探索する手法です。

ユーザーやデバイスの行動分析をベースにする手法で、内部脅威や標的型攻撃を発見するのが主な目的です。

機械学習やAIを活用して、通常時の行動を学習させることにより、逸脱した動きを自動的に検知できます。一方で、誤検知のリスクもあるため、アナリストによる確認作業が欠かせません。

状況ハンティングは、内部脅威対策を強化する上で有効なアプローチといえるでしょう。

脅威ハンティングのモデル

脅威ハンティングには複数の実施モデルがあり、状況に適したモデルを選択することが大切です。ここでは、代表的な3つのモデルをそれぞれ紹介します。

インテリジェンス・ベースのハンティング

インテリジェンス・ベースのハンティングは、脅威インテリジェンスを起点とした探索モデルです。

既知の攻撃手法や脆弱性情報を基に、関連する脅威の痕跡を探し出す点が特徴です。

そもそも脅威インテリジェンスとは、情報セキュリティの脅威に関する情報を収集・分析し、その根拠に基づいて考慮される情報・データのことを指します。

▼脅威インテリジェンスの主な種類

  • 第三者による攻撃のメカニズム
  • 新たなサイバー攻撃の動向
  • 攻撃の発生時の識別方法
  • 既知脅威の詳細
  • 多種多様な攻撃による悪影響

外部の脅威インテリジェンスを活用することで、自組織に関連する脅威を効率的に特定できます。

インテリジェンス・ベースのハンティングは、既知の脅威への対策を強化する上で効果的なモデルです。脅威インテリジェンスの詳細は以下の記事をご覧ください。

【関連記事】脅威インテリジェンスとは?重要性や具体的な導入の流れを紹介

仮説ハンティング

仮説ハンティングは、脅威ハンティング・ライブラリを利用した探索モデルです。

アタッカーのインジケーターオブアタック(IoA)とタクティクス、テクニック、プロシージャ(TTP)を利用します。

アナリストの知見と直感を活かしつつ、仮説を立てて検証を繰り返すことで、新しいタイプの脅威を見つけ出すことが可能です。

仮説ハンティングは、高度なサイバー攻撃を検知する上で欠かせないモデルといえるでしょう。

ハイブリッドハンティング

ハイブリッドハンティングは、インテリジェンス・ベースと仮説ハンティングを組み合わせたモデルです。

両者の長所を活かすことで、効率的かつ効果的な脅威探索が可能となります。

脅威インテリジェンスを起点に関連する脅威を絞り込み、そこから仮説を立てて深掘りするのが一般的な流れです。

機械的な分析と人的な分析のバランスを取ることにより、未知の脅威を見逃すリスクを軽減しつつ、アナリストの負担を軽減できる点が大きな利点です。

現代のサイバー脅威に立ち向かう上で理想的なモデルといえるでしょう。

脅威ハンティングの実施手順

脅威ハンティングは、一般的に以下3つのステップで実施されます。トリガー、調査、解決の各フェーズについて解説します。

トリガー

ステップ1のトリガーでは、脅威ハンティングの起点となる異常な兆候を見つけます。ログデータやアラートを分析して、不審な動きを検知するのが目的です。

ネットワークやエンドポイントの異常な振る舞いに着目し、ファイルレスマルウェアのようなツールを使用して手がかりを見つけ出します。

調査

調査フェーズでは、トリガーで検知した異常な兆候を詳しく分析します。関連するデータを収集し、脅威の全容を明らかにするのが目的です。

攻撃者の侵入経路や目的、使用したツールなどを特定することで、対策の方向性が見えてきます。

解決

解決フェーズにおいては、調査で特定した脅威を排除して再発を防止します。セキュリティ設定の見直しや、脆弱性の修正などの対策を講じるのが一般的です。

また、インシデントの原因を分析し、セキュリティ体制の改善に繋げることも重要です。技術的な対応だけでなく、組織的な課題にも目を向ける必要があります。

まとめ

この記事では、脅威ハンティングの仕組みや種類、モデル、実施手順について解説しました。

脅威ハンティングを適切に実施することで、未知の脅威を早期に発見し、被害を最小限に抑えることができます。

構造化・非構造化・状況ハンティングなど、探索手法を適切に選択し、インテリジェンス・ベース、仮説、ハイブリッドモデルを状況に応じて使い分けることが重要です。

また、トリガー、調査、解決の各フェーズを着実に実行すれば、脅威ハンティングの効果を最大限に引き出せるでしょう。

組織や企業のセキュリティ対策においては、脆弱性診断・ペネトレーションテスト、セキュリティインシデント対応も欠かせないアプローチです。

高度なセキュリティ環境を構築したい企業様は、「GMOサイバーセキュリティ byイエラエ」が提供するサービスの利用もぜひご検討ください。

文責:GMOインターネットグループ株式会社