脅威ハンティングとは
脅威ハンティングは、サイバー脅威ハンティングとも呼ばれ、組織のネットワーク内に存在するこれまで知られていなかった脅威、あるいは現在進行中の未解決の脅威を特定するためのプロアクティブなアプローチです。
夕方の窓を背にノートパソコンの前に座る男性の画像
脅威ハンティングが重要な理由

脅威ハンティングが重要なのは、巧妙な脅威が自動化されたサイバーセキュリティーをすり抜けられるからです。自動化されたセキュリティー・ツールやティア1や2のセキュリティー・オペレーション・センター(SOC)のアナリストは、およそ80%の脅威に対処できるはずですが、それでも残りの20%について心配する必要があります。残りの20%の脅威には、大きな被害をもたらす巧妙な脅威が含まれている可能性が高くなります。そのような脅威は、十分な時間とリソースがあれば、あらゆるネットワークに侵入し、平均で最大280日間も検知を回避できます。効果的な脅威ハンティングを行うことで、侵入から発見までの時間を短縮し、アタッカーによる被害を軽減できます。

アタッカーは、発見されるまでの数週間、あるいは数ヶ月間、潜伏していることがよくあります。彼らは、データを吸い上げるために忍耐強く待ち、さらなるアクセスを可能にするために十分な機密情報や認証情報を発見し、重大なデータ侵害の舞台を整えます。潜在的な脅威はどれほどの損害をもたらすのでしょうか。"データ侵害のコストに関する調査によると、"データ漏洩が発生すると、一社あたり平均400万ドル近くものコストがかかります。そして、情報漏えいの悪影響は何年も続く可能性があります。システム障害から対応策を展開するまでの時間が長ければ長いほど、企業の負担が大きくなります。

脅威ハンティングの仕組み

脅威ハンティング・プログラムの成功は、環境のデータをどれだけ集められるかに基づきます。言い換えれば、組織はまず、データを収集するエンタープライズ・セキュリティー・システムを導入する必要があります。そこから収集された情報は、脅威ハンターにとって貴重な手がかりとなります。

サイバー脅威ハンターは、企業のセキュリティーに人間の要素を持ち込み、自動化されたシステムを補完します。彼らは、ITセキュリティーの熟練した専門家であり、脅威が深刻な問題を引き起こす前に、検索、ログ、監視、無効化します。理想的には、企業のIT部門に所属し、その業務を熟知しているセキュリティー・アナリストが望ましいですが、外部のアナリストを起用することもあります。

脅威ハンティングは、環境中の未知の脅威を発見する技術です。 セキュリティー情報とイベント管理(SIEM)、EDR(Endpoint Detection and Response)など、従来の検知技術にとどまりません。脅威ハンターは、セキュリティー・データを徹底的に調べます。隠れたマルウェアやアタッカーを探し出し、コンピューターが見落とした、または解決済みと判断したが実は未解決の、不審な行動パターンを探します。また、そのようなサイバー攻撃の再発を防止するために、企業のセキュリティー・システムのパッチを適用する手助けもします。

脅威ハンティングの種類

ハンターは、セキュリティー・データまたはトリガーに基づく仮説から始めます。仮説やトリガーは、潜在的なリスクについてさらに深く調査するための踏み台になります。さらに深い調査とは、構造化、非構造化、および状況ハンティングです。

構造化されたハンティング

構造化されたハンティングは、攻撃の痕跡(IoA)とアタッカーの戦術・技術・手順(TTP)に基づいて行われます。すべてのハンティングは、脅威行為者のTTPに従って行われます。したがって、通常、ハンターは、アタッカーが環境に損害を与える前に、脅威行為者を特定できます。このハンティングタイプでは MITRE Adversary Tactics Techniques and Common Knowledge(ATT&CK)フレームワーク (IBM外部へのリンク)を使用し、PRE-ATT&CKとエンタープライズ・フレームワークの両方を使用します。

非構造化ハンティング

非構造化ハンティングは、多くのIoC(侵害の痕跡)の一つであるトリガーを基に開始されます。このトリガーは、ハンターが検知前後のパターンを探す手がかりになることがよくあります。ハンターは、アプローチを導き出しながら、データ保持期間や関連する過去の攻撃を可能な限りさかのぼって調査できます。

状況主導型またはエンティティー主導型

状況仮説は、企業の内部リスクアセスメントやその企業のIT環境に特有の傾向・脆弱性分析から得られます。エンティティー指向の手がかりは、クラウドソーシングで収集された攻撃データから導き出され、現在のサイバー脅威の最新TTPを明らかにします。脅威ハンターは、環境内のこれらの具体的な行動を検索できます。

ハンティング・モデル
インテリジェンス・ベースのハンティング

インテリジェンス・ベースのハンティングは、インテリジェンス・ソースのIoCを使用する事後対応の ハンティングモデルです (IBM外部へのリンク) 。そこから、SIEMと脅威インテリジェンスによって確立された定義済みのルールに従って、ハンティングが行われます。

インテリジェンス・ベースのハンティングはIoC、ハッシュ値、IPアドレス、ドメイン名、ネットワーク、コンピューター緊急対応チーム(CERT)などのインテリジェンス共有プラットフォームが提供するホストのアーティファクトを使用します。自動化されたアラートは、これらのプラットフォームからエクスポートし、脅威情報構造化記述形式(STIX) (IBM外部へのリンク)および検知指標情報自動交換手順(TAXII)(IBM外部へのリンク)としてSIEMに入力できます。SIEMがIoCに基づくアラートを受け取ると、脅威ハンターはアラートの前後の悪質な活動を調査し、環境内のあらゆる侵害を特定できます。

仮説ハンティング

仮説ハンティングは、脅威ハンティング・ライブラリを利用したプロアクティブなハンティング・モデルです。MITRE ATT&CKフレームワークに沿って、グローバル検出プレイブックを使用し、高度標的型攻撃グループとマルウェア攻撃を特定します。

仮説に基づくハンティングは、アタッカーのIoAとTTPを利用します。ハンターは、MITREのフレームワークに沿った仮説を立てるために使用した環境、ドメイン、攻撃行動に基づいて、脅威のアクターを特定します。行動が特定されると、脅威ハンターは活動パターンを監視し、脅威を検知、特定、隔離します。このようにして、脅威ハンターは、脅威者が環境に損害を与える前に、プロアクティブに検出できます。

カスタム・ハンティング

カスタム・ハンティングは、状況認識と業界別のハンティング手法に基づくものです。SIEMやEDRツールの異常を特定し、お客様のご要望に応じてカスタマイズが可能です。

カスタム・ハンティングや状況ハンティングは、お客様のご要望に基づき、あるいは地政学的な問題や標的型攻撃などの状況に応じてプロアクティブに実行されるものです。これらのハンティング活動には、IoAやIoCの情報を利用した、インテリジェンス・ベースと仮説ベースの両方のハンティング・モデルを利用できます。

脅威ハンティング・テクニック:クイックガイド
脅威ハンティング・ツール

ハンターは、MDR、SIEM、およびセキュリティー分析ツールからのデータをハンティングの基盤として使用します。また、パッカー・アナライザーのような他のツールを使用して、ネットワーク・ベースのハンティングを実行することも可能です。しかし、SIEMやMDRツールを使用するには、環境内のすべての重要なソースとツールが統合されている必要があります。この統合により、IoAとIoCの手がかりが適切なハンティングの方向性を示せるようになります。

マネージド・ディテクション & レスポンス(MRD)

MDRでは、高度な脅威の特定と修復に脅威インテリジェンスとプロアクティブな脅威ハンティングが適用されます。 これは、攻撃の滞留時間の短縮とネットワーク内での攻撃に対する迅速で、決定的な対応の実行に役立つセキュリティー・ソリューションです。

SIEM

セキュリティー情報管理(SIM)とセキュリティー・イベント管理(SEM)、セキュリティー情報とイベント管理(SIEM)を組み合わせることにより、セキュリティーデータのトラッキングとロギングに加えて、イベントのリアルタイムでの監視と分析が可能になります。 SIEMは、深い調査を行う重要なきっかけを提供するユーザー行動の異常やその他の不規則性を明らかにします。

セキュリティー分析

セキュリティー分析は、基本的なSIEMシステムを超えて、セキュリティー・データに対する深い洞察を提供しようと努めています。セキュリティー技術によって獲得したビッグデータを、高速で高性能の、統合された機械学習やAIと組み合わせることで、セキュリティー分析はサイバー脅威ハンティングのための詳細な観測可能データを提供し、脅威調査を加速させることができます。

脅威ハンティングと脅威インテリジェンスの違いとは?

脅威インテリジェンスは、侵入の試みや成功に関するデータ・セットで、通常は機械学習やAIを搭載した自動セキュリティー・システムによって収集・分析されます。

脅威ハンティングは、このインテリジェンスを利用して、システム全体で悪意あるアクターを徹底的に探し出します。言い換えれば、脅威ハンティングは脅威インテリジェンスが終了したところから始まります。さらに、脅威ハンティングが成功すれば、まだ発見されていない脅威を特定できます。

また、脅威ハンティングでは、脅威指標をハンティングの手がかりや仮説として利用します。脅威指標とは、マルウェアやアタッカーが残した仮想的な指紋、奇妙なIPアドレス、フィッシング・メール、その他の異常なネットワーク・トラフィックなどです。

関連ソリューション
サイバー脅威ハンティング

脅威の検知率を大幅に向上させ、検知、調査、修復にかかる時間を短縮します。サイバー脅威ハンティング・プログラムの開始方法についてご紹介します。

サイバー脅威ハンティング・ソリューションの詳細はこちら
マネージド・ディテクション&レスポンス

IBM Security Managed Detection and Response (MDR)は、24時間週7日間ずっと、すぐに使用可能な脅威防御、検知、対応能力を提供します。IBMのプロアクティブな脅威ハンターは、組織と連携して、大切な資産や重要な懸念事項を特定できるようにします。

プロアクティブな脅威ソリューションに移行する
セキュリティー情報とイベント管理(SIEM)

SIEMの基盤を発展させ、時代の変化に応じて拡張可能な包括的プログラムを開発します。IBM Securityで内部脅威を特定し、エンドポイント・デバイスを追跡し、クラウドを保護し、コンプライアンスを管理できます。

SIEMソリューションの詳細を見る
セキュリティー・オーケストレーション、自動化、対応(SOAR)

脅威の検知は、セキュリティーの方程式の半分に過ぎません。セキュリティー・オペレーション・センター(SOC)を改善するには、スマートなインシデント対応と、マネージド・サービスを備えた単一の統合セキュリティー・オーケストレーション、自動化、対応(SOAR)プラットフォームも検討する必要があります。

効果的なSOARソリューションを探す
攻撃的なセキュリティー・サービス

X-Force® Redが、非常に重要な既知および未知の脆弱性を発見し、修正します。このベテラン・ハッカーの自律的なチームは、IBMと協力してお客様のセキュリティーをテストし、犯罪的なアタッカーが個人の利益のために使用する可能性のある弱点を明らかにします。

X-Force Redで攻勢に出る
その他の参考情報 脅威ハンティングに関する最新情報

脅威インテリジェンス、新しい戦術や防御策など、サイバー脅威ハンティングに関する記事をご覧ください。

MDRサービスプロバイダーによる戦略的成果の達成

MDRとは何で、そしてセキュリティーチームをベストプラクティスに合わせるにはどうすればよいのでしょうか。効果的なMDRサービスが、集中的脅威ハンティングなど、組織の目標を達成するためにどのように役立つかについてご紹介します。

X-Force脅威インテリジェンス・インデックス

脅威の状況をグローバルな視点で把握し、サイバー攻撃のリスクを理解する

データ侵害のコスト

データ侵害のコストに関する調査には、組織がデータ侵害を回避するため、または侵害時にコストを軽減するために役立つ、金銭的な影響やセキュリティー対策について掲載されています。

Dairy Gold社

Dairy Gold社が、統合および検出機能にIBM QRadar®を、エンドポイントのディスカバリーおよび管理にIBM® BigFixを導入して、セキュリティー体制を改善した方法についてご覧ください。