脅威ハンティングとは

脅威ハンティングが重要な理由

データ侵害の頻度とコストが高まるなか、脅威ハンティング プログラムは現代の組織におけるセキュリティ戦略の重要な要素となっており、組織に以下のようなメリットを提供します。

• 潜在的なリスクや隠れた脅威に対する予防的な防御：全体的なセキュリティ態勢を改善し、リスクが深刻化する前に軽減しながら、潜在的な侵害を防止します
• インシデント対応の迅速化と脅威の滞留時間の短縮：自動化ツールと人間の専門知識を組み合わせることで、より正確に脅威を検出します
• 金銭的被害、信用の失墜、データ流出などのリスク軽減：攻撃の頻度や損害額の増加に対応し、リスクを軽減します

脅威ハンティングの仕組み

効果的な脅威ハンティングにおいて重要となるのは、実践的な調査、対策、リスク軽減です。これらの取り組みは、机上での対策ではなく、よりスピーディーかつ大規模に攻撃を仕掛け、検出を困難にしようとする攻撃者との終わりのない競争のなかで行われます。基本的な脅威ハンティングのプロセスは、以下の4段階に分けて考えられます。

1. データの収集と分析

脅威ハンターは、ログ、トラフィックとエンドポイントのデータ、脅威インテリジェンス フィードなど、組織のネットワーク内外から大量のデータを収集します。振る舞い分析と機械学習を活用することで、このデータから正常な振る舞いの基準を確立できます。この基準からの逸脱は潜在的な脅威を示している可能性があります。

2. 仮説の構築

データ分析から収集されたインサイトに基づいて、潜在的な脅威に関する仮説を立てます。この仮説は、マルウェアの存在や差し迫った別のセキュリティ インシデントを示す可能性のある異常や疑わしいアクティビティーの特定に焦点を当てます。

3. 調査と検証

脅威ハンターは、ネットワーク トラフィックの調査、ログの確認、エンドポイントのアクティビティーの調査などにより、データ内のIOCや悪意のあるアクティビティーの兆候、異常なパターンを探します。ここでの目標は、指標が真の脅威を示すものなのか、単なる誤検知に過ぎないのかを検証することです。検証は、脅威への対応の迅速化と効率化のために欠かせません。

4. 継続的な改善

進化する脅威に継続的に適応するために、脅威ハンティングは循環的なプロセスをとります。脅威ハンターは教訓を活用して手法を洗練させ、仮説を更新し、新たな脅威インテリジェンスやセキュリティ ソリューションを取り入れるなどして、次回の分析に役立てます。

脅威ハンティングの種類

脅威ハンターがとるアプローチは、事前に持っている情報に左右されます。たとえば、脅威フィードでマルウェアの新たな亜種に特化した新しい情報(シグネチャー データなど)が提供されているか、アウトバウンド トラフィックの急増が確認されているかなどによってアプローチが変わります。

特定の手がかりに基づく脅威ハンティング(構造化ハンティング):仮説に基づく脅威ハンティング、または調査の指針となる特定のIOCに基づく脅威ハンティングです。たとえば、前述のように新たなマルウェアに関する特定の情報を入手した場合、脅威ハンターは環境内でそのマルウェアの既知の兆候を探すことができます。

特定の手がかりを用いない脅威ハンティング(非構造化ハンティング):脅威ハンターは、特定の手がかりや指標の代わりにデータ分析や異常検出の手法を用い、前述のネットワーク トラフィックの急増などを明らかにし、そこから異常の原因を調査します。

これらのアプローチは互いに排他的な性質を持つわけではありません。多くの場合、脅威ハンティング部門は包括的なハンティング手法の一環として両者を組み合わせて活用する必要があります。

サイバー脅威ハンティングにおける自動化のメリット

自動化は効果的な脅威ハンティングに不可欠であり、人間の横断的思考や創造性と組み合わせて活用されます。攻撃者は、自らの活動に有用なあらゆるものを悪用しており、現在では人工知能と自動化を駆使して攻撃を加速させています。つまり、自動化の活用は、相手と同じ武器で対抗することを意味します。

自動化を活用することで、大量のデータのリアル タイムでの収集、関連付け、異常の特定を人間よりはるかに効率的に行い、脅威の検知と対応を迅速化できます。その結果、人間のアナリストは、微妙なコンテキストに基づく意思決定が必要なインシデントや、自動化ツールによる判断に必要な過去のセキュリティ データが不足しているインシデントに、より多くの時間を割き、いっそうの注意を払えるようになります。

脅威ハンティングのモデルと手法

脅威ハンティングのモデルと手法にはさまざまなものがあり、担当部門の性質や脅威の特性に応じて異なる側面から脅威の特定、調査、軽減を行うことができます。一般的なモデルには以下のようなものがあります。

MITRE ATT&CKフレームワーク

既知の攻撃に関するTTPのナレッジ ベースであり、攻撃のさまざまな段階にわたる脅威の振る舞いを分類および分析する標準化された手法を提供します。これにより、脅威ハンターは検知と対応の取り組みに整合性を持たせることができます。

Lockheed Martinのサイバー キル チェーン

サイバー攻撃を偵察から持ち出しまでの7段階に分類し、攻撃チェーンのさまざまなポイントにおける脆弱性と考えられる効果的な軽減戦略を特定することで、予防的な脅威ハンティングをサポートします。

サイバー脅威インテリジェンスのライフ サイクル

脅威インテリジェンスを収集、分析、配信する継続的なプロセスです。これによって、脅威ハンターはタイムリーで関連性の高い脅威インテリジェンスを検知と対応に組み込み、組織は新たな脅威に対応できます。

詳細は、脅威インテリジェンスとはをご確認ください。

観察、状況把握、意思決定、行動(OODA)ループ

もともと米空軍のために開発されたフレームワークであり、4つの段階で構成されます。このフレームワークを活用して、脅威ハンターは進化する脅威についての情報をコンテキスト化し、変化する状況への迅速な適応、情報に基づいた意思決定、効果的な行動に役立てられます。

侵入分析のダイヤモンド モデル

侵入における4つの主な要素(攻撃者、インフラ、被害者、能力)とそれらの関係を定義するサイバー脅威のアトリビューション フレームワークです。このフレームワークを活用することで、脅威ハンターは攻撃に関連する人、ツール、経路、プロセスについて理解できます。

脅威ハンティングのツール

脅威ハンティングの手法と同様に、脅威ハンターが活用するツールも数多く存在します。一般的なテクノロジーを以下に紹介します。

• セキュリティ情報とイベント管理(SIEM):組織のネットワークからログ データを収集および分析し、監視と通知の一元的なプラットフォームを提供します。
• ネットワーク トラフィック分析(NTA):ネットワーク トラフィックのパターンと振る舞いを分析し、疑わしいアクティビティーを検出しながら、潜在的な脅威を特定します。
• エンドポイントでの検知と対応(EDR):エンドポイント上の疑わしいアクティビティーをリアル タイムで監視および検出するとともに、調査、脅威ハンティング、トリアージ、修復の機能を提供します。
• 脅威インテリジェンス プラットフォーム(TIP):さまざまなソースから得られた脅威インテリジェンスを集約、関連付け、分析、強化し、アナリストやツールが情報に基づいた意思決定を行えるようにします。
• セキュリティ オーケストレーションの自動化と対応(SOAR):インシデント対応を自動化および調整することで、より迅速かつ効率的な脅威の軽減を可能にします。
• 脆弱性スキャン：組織の環境とアプリをスキャンし、攻撃者に悪用される可能性のある脆弱性を特定することで、パッチ管理とリスク評価をサポートします。
• アタック サーフェス管理(ASM):組織の攻撃対象領域を可視化し、脆弱性と潜在的な攻撃ベクトルを特定、監視、軽減することで攻撃対象領域の削減を支援します。
• マルウェア サンドボックス：制御された環境で疑わしいファイルやプログラムを分離および分析します。マルウェアの振る舞いを特定し、潜在的な脅威を評価するために使用されます。
• 脅威エミュレーションとレッド チーム演習：実際のサイバー攻撃のシミュレーションを行うことで、セキュリティ態勢を評価し、脆弱性を特定できるようにします。
• デセプション テクノロジー：ネットワークに実際の資産とともにデコイを展開し、攻撃者を誘い込んで精度の高いアラートを生成することで、滞留時間の短縮とインシデント対応のスピードアップを可能にします。

脅威ハンティングに携わるべき関係者

脅威検出や脅威ハンティングのツールに精通したセキュリティ アナリストは、脅威ハンティングにおいて最も重要な役割を担い、アラートの監視と分析、疑わしい振る舞いの追跡、攻撃の兆候(IOA)の特定などを主導します。小規模な組織ではフルタイムのアナリストを1人しか雇用していない場合もありますが、大規模な組織では相応の規模のセキュリティ オペレーション センター(SOC)を抱えているか、マネージド サービスを使用している場合があります。

その他の重要なサポート担当者としては以下が挙げられます。

• 脅威インテリジェンス アナリスト：脅威インテリジェンスから重要なコンテキストや侵害の痕跡を抽出します。
• 法務およびコンプライアンス部門：法的要件と規制要件の順守をサポートします。
• 経営幹部と取締役：戦略、人的リソース、予算編成についてトップレベルの意思決定を行います。

脅威ハンティングを開始するために必要なツール

効果的な脅威ハンティングを行うには、以下の4つの重要な要素が必要です。

1. 高いスキルを持つ脅威ハンターとアナリスト：社内にセキュリティ部門がある場合は、進化する高度な脅威から組織を保護できるよう、継続的なトレーニングと能力開発に投資する必要があります。
2. 脅威ハンティング テクノロジーと自動化ツールの適切な組み合わせ：SIEMプラットフォーム、EDRソリューション、NTAツール、脅威インテリジェンス プラットフォームなどを利用します。
3. ログ、ネットワーク トラフィック データ、振る舞いデータなどへのアクセス：脅威ハンターが脅威の全体像を把握できるようにします。
4. 脅威ハンティングのための明確かつ戦略的なフレームワーク：組織のリスク許容度とセキュリティ態勢に則した明確な目標と戦略を定めます。

脅威ハンティングにおけるZscalerの役割

Zscaler ThreatLabzの脅威ハンティングの専門家は、世界最大のセキュリティ クラウドを通過する500兆のデータ ポイント内で異常を監視しながら、悪意のあるアクティビティーや新たな脅威を特定、検出しています。

Zscaler ThreatLabzは、脅威インテリジェンスと独自のツールを活用することで、最も高度な攻撃者グループからコモディティー マルウェアまで、脅威の典型的な戦術、ツール、手順(TTP)を予防的に追跡し、最新の脅威を総合的にカバーします。

これらのデータ ポイントは、機械学習モデルのトレーニングにも活用されており、より迅速かつ広範な検出を可能にしています。この予防的なアプローチにより、1日あたり90億件の潜在的な脅威を、お客様に影響や被害が及ぶ前に特定してブロックしています。