新たなサイバー脅威が次々と登場し、対策となるソリューションが後を追って開発されるサイクルが繰り返されてきました。脅威の発生後に対策を講じる流れは自然なものですが、後手に回っている状況は否めません。
このようなサイバーセキュリティに関する流れを変えるアプローチとして登場したのが脅威ハンティングです。問題が顕在化してから対策するのではなく、能動的に潜在的脅威を見つけ出す点が大きな特徴です。
本記事では、脅威ハンティングについて、概要、背景、導入における課題とポイントなどを解説します。
脅威ハンティングとは?
脅威ハンティングは、企業や組織が持つネットワークの中から未知の脅威、未対策の脅威を検知し、防御を行う情報セキュリティへのアプローチです。
企業の持つ情報資産の中には、ネットワークとそこに分散するエンドポイント、データが大量に存在しています。これらの中には未知の脅威が潜んでいる可能性があり、それらの脅威を低減させることを目的としています。
従来のセキュリティ対策との違い
従来のセキュリティ対策では、発生したセキュリティ脅威に対して実施するインシデント対応や、既知の脅威に関する脆弱性の検知・対策などが主流です。これらの対策は、何らかの課題が発生・判明した後に受動的に講じられる手段といえます。
脅威ハンティングは、セキュリティを確保する側から能動的に脅威の芽を摘みに行くアプローチです。脅威が深刻な問題を起こす前に探索・検出することに重点を置いている点が従来との大きな違いといえます。
脅威ハンティングを実施する際に利用するツール
脅威ハンティングはセキュリティツールを組み合わせて実施します。以下はその代表例です。
- SIEM(Security Information and Event Management)
- SIEMはネットワークへの侵入やサイバー攻撃の発生、マルウェアへの感染などを検知することを目的として、ログの集積・分析・管理を行うツールです。
- UEBA(User and Entity Behavior Analytics)
- ユーザーとサーバーやルーター、デバイスなどのエンティティの行動を分析し、異常を検出するツールです。
- EDR(Endpoint Detection and Response)
- EDRはエンドポイント(端末)でのサイバー攻撃などを検知し、インシデント対策を迅速に行うための仕組みです。
- MDR(Managed Detection and Response)
- 各種のセキュリティ脅威を、外部の専門家が代行してリアルタイムで監視・検出するサービスです。
脅威ハンティングの必要性が高まる背景
サイバーセキュリティのための製品やサービスは様々なものが登場しており、既知の脅威についてはこれらを利用して対策できる場合が多いです。しかし、攻撃者も常に新たな攻撃手法を探っており、未知の脆弱性を突く攻撃がいつ現れるかは未知数です。潜在的脅威は組織の持つ情報資産の中に既に潜んでいることも考えられます。新たな攻撃手法が判明した段階で対策を打つのでは被害を未然に防げないため、より能動的なアプローチとして脅威ハンティングが必要とされています。
また、AIやデータ分析を用いたセキュリティ対策は、過去のデータ(既知の攻撃パターン)をベースとしているため、既知の攻撃に対しては高い精度で検出が可能ですが、未知の脅威を見抜くことは難しいという課題もあります。脅威ハンティングでは、各種のセキュリティ対策と脅威ハンターと呼ばれる専門家の知見を組み合わせており、未知の脅威を検出できる可能性が高い手法であることも必要とされる理由の一つです。
脅威ハンティングの基本的なサイクル
脅威ハンティングは、一般的に下記の3つのプロセスにより実施されます。
- 仮説の設定
- 仮説の実行
- 仮説の検証
セキュリティアナリストや脅威ハンターのチームは、ネットワークやデバイス、通信などの観察、最新のセキュリティデータ、および脅威インテリジェンスなどの情報から、脅威についての仮説を立てます。セキュリティ確保対象のネットワーク上に残された痕跡であるIoC(Indicator of Compromise:侵害の痕跡)やIoA(Indicator of Attack:攻撃の痕跡)は仮説設定上の重要な手がかりです。
設定した仮説に基づき、脅威ハンティングを実行し、その結果を検証する体系的なプロセスを繰り返します。常に妥当性を疑いながら、このサイクルを通じて潜在的脅威を排除していきます。
脅威ハンティングの3つのタイプ
脅威ハンティングは3つの形式があります。
- 構造化ハンティング
- MITRE ATT&CKなどのフレームワークに沿って、IoAと脅威インテリジェンス、既知の脅威の戦術、技法、手順(TTPs:Tactics, Techniques, and Procedures)などを照らし合わせることで脅威を探し出す形式です。特に既知の脅威に類似した脅威を見つけ出すことができる点が特徴です。
- 非構造化ハンティング
- 脅威ハンティングに携わるセキュリティアナリストや脅威ハンターの豊富な知見をもとに脅威の探索を行う形式です。組織のネットワーク、システムにおいてIoCが発見された場合、脅威ハンターはIoCの原因究明、他に痕跡が残っていないかを調査し、セキュリティ施策を強化することにつなげます。構造化ハンティングよりも柔軟で、実施するアナリストなどのスキルに依存する特徴があります。
- 状況ハンティング・エンティティハンティング
- 組織固有の状況に応じて行われる脅威ハンティングです。組織のリスクの評価や脆弱性を分析した結果をベースに進められます。エンティティハンティングはその中でも組織の持つ重要な情報資産やシステムに焦点を当てた脅威ハンティングです。
脅威ハンティング導入時の課題と成功のポイント
脅威ハンティングは有用なセキュリティ対策ですが、導入を検討する際には課題もあります。これらの課題をクリアすることが脅威ハンティング導入の成功へのポイントとなります。
- コスト
- 脅威ハンティングを実際に行うには、SIEMやUEBAなどのツールを組み合わせた仕組みを構築する必要があります。組織全体のシステム、ネットワークに対するセキュリティ監視の仕組みを構築することになりますので、導入時には一定のコストが見込まれます。
- ツール利用、連携のノウハウ
- SIEMやUEBAなどのツールを用いたセキュリティ監視、分析などの仕組みの利用には技術的・専門的な知見が必要となります。また、各ツールを連携させるためのノウハウも必要です。脅威ハンティングのための仕組みを導入した後も、利用のための教育やノウハウの蓄積などを行いながらの運用が想定されます。
- アナリストなどのセキュリティ人材確保
- 脅威ハンティングを実施するチームは、セキュリティアナリストや脅威ハンターと呼ばれる人材で構成します。これらの人材はセキュリティ分野のスペシャリストであるため、人材・体制の確保も成功に向けた重要な課題となります。
