脅威ハンティングとは?具体的な内容を解説

 2019.10.01  EDR実践ポータル

昨今のサイバー攻撃は日々巧妙になり、セキュリティ対策を講じていてもシステムをかいくぐり、内部ネットワークへと侵入する傾向にあります。検知できないまま内部ネットワークへ侵入されたことに気付いていない情報セキュリティ担当者が意外と多いものです。これに対し、近年では「脅威ハンティング(Threat Hunting:スレット・ハンティング)」というセキュリティ対策手法で、サイバー攻撃による被害を防ごうとする企業が増えています。

本稿ではこの脅威ハンティングについて具体的な内容を解説いたします。

threat-hunting

脅威ハンティングとは?

脅威ハンティングとは従来の情報セキュリティ対策では検知が難しい脅威に対し、それらのリスクが存在することを前提にネットワーク内部におけるログやプロセスを解析し、不審な振る舞いを検出することでサイバー攻撃を検知して防ぐというセキュリティ対策手法を指します。

前述のように、サイバー攻撃は日々巧妙になっていることから、堅牢な情報セキュリティ体制を取りつつも内部ネットワークへの侵入を許してしまうケースは少なくありません。多くのセキュリティベンダーが口を揃えて「情報セキュリティに100%はあり得ない」と言うのは、サイバー攻撃と情報セキュリティが長年イタチごっこを繰り返しているからです。

もちろん、多数のセキュリティベンダーの努力もあり、近年ではとんどのサイバー攻撃を高度な情報セキュリティシステムによって検知・防御できる状況にあります。しかしながら、ちょっとした情報セキュリティの甘さだったり、脆弱性だったり、標的型の様にその企業に向けた特定の攻撃手法だったりと、さまざまな要因が絡み合って内部ネットワークへの侵入を許してしまうこともあるのです。

「ならば、内部ネットワークへ侵入されることを前提に検知及び防御する情報セキュリティシステムが必要だ」という見解から生まれたのがEDR(エンドポイントでの検知と対応)、そして脅威ハンティングです。

 

ペネトレーションテストとの違いは何か?

「弊社はペネトレーションテストを実施しているから問題ない」という考えの企業もいらっしゃるのではないでしょうか?このペネトレーションテストと脅威ハンティングを混合している方も少なくないようです。

ペネトレーションテストは外部から企業の内部ネットワークへ侵入するテストを実施し、どの部分やどの脆弱ポイントからマルウェアやハッカーが侵入する可能性が高いか、どの深度まで侵入できるかを診断するためのテストのことです。脅威ハンティングは『実際に』攻撃、侵入ではないかと疑われる痕跡を探すのが目的と、本質的に異なります。

 

多くの企業が脅威ハンティングを実施した方がよい理由

これからの情報社会においてすべての企業が脅威ハンティングを必要としていると言えます。経済産業省がDXレポートでも述べているように、あらゆる企業のデジタルトランスフォーメーションによるIT化が加速します。これはあらゆる産業がデジタル企業として変革することを意味しており、つまり、サイバー攻撃の対象になりやすいことでもあるのです。

そして、日々進化する攻撃者に対してパッチワークでは対応しきれなくなっている現状を考慮すると、侵入されることを前提とした対策である脅威ハンティングは必要不可欠な防御策と言えるでしょう。

もう1つの理由は、「脅威ハンティングで得た情報を、情報セキュリティ対策の強化に繋げられる」ということです。分析したあらゆる情報が情報セキュリティに有用であり、脅威を検知できなかった理由を特定し、今後同じようなサイバー攻撃を受けた際の対処法について考えることで、情報セキュリティ対策を強化していくことができます。

脅威ハンティングは情報セキュリティシステムで完全に自動化できるものではなく、人が手作業で実施する要素も多いことから、この分野に関わるノウハウ、知識が求められ社内のセキュリティ能力の向上にも結びつきます。

 

脅威ハンティングとインシデント対応

脅威ハンティングは、既に内部ネットワークへ侵入しているマルウェアや攻撃者を検知することが目的です。他方、インシデント対応はセキュリティ事故、攻撃が発見された後、その調査と環境復旧を行うことを目的としています。要するに脅威ハンティングは『事前』、ことが起こる前に焦点を当てているのに対して、インシデント対応は『事後』対応の部分になります。つまり、脅威ハンティングとインシデント対応は補完的な関係にあると言ってよいでしょう。

社内から収集された情報は、脅威ハンティングにおいて利用、分析されます。また同じ情報がインシデント発生の際の調査にも利用されます。 

インシデント対応に必要な準備が依頼段階から整っていることで、すぐに調査を実施し、速やかに脅威を排除することにつながります。

 

脅威ハンティングにデメリットはないのか?

脅威ハンティングは、マルウェアや攻撃者が内部ネットワークへ侵入していることを前提に脅威を検知します、これ自体が防御するわけではありません。つまり検知してからの対応スピードが重要になります。

また、あらゆるセキュリティソフトウェアでも同様のことが言えますが、脅威ハンティングを行うものの性能、能力に依存するところがあります。それだけの能力が備わっていなければ、怪しい振る舞いを検知できず、意味がありません。

現状の対策では見つけられない脅威、言うなればファイアウォールをすり抜け、社内に入り込みエンドポイントのアンチウイルスでも検知しない、EDRでも検知しない怪しい活動を見つけるのに、ペネトレーションテストの様に定期実施で脅威ハンティングを実施しても、それ以外の間に侵入が進んでしまうのでこれまた意味を成しません。

脅威ハンティングを自社のセキュリティ強化に活かすには、脅威ハンティングを正しく理解している必要があります。

 

CrowdStrikeの脅威ハンティングとは?

CrowdStrikeでは、この脅威ハンティングに対する包括的なサービス「Falcon OverWatch」を提供しています。

次世代アンチウイルスで検知・防御できなかったものをEDRで検知・対処する。これに追加し3つ目の壁として働くFalcon OverWatchは、次世代のエンドポイント保護プラットフォーム CrowdStrike Falconを活用したマネージド脅威ハンティングサービスです。高度な攻撃との日々の格闘で培った専門家の目で、24時間365日体制で顧客の環境を監視し、年間30,000件以上のセキュリティ侵害の試みを特定し阻止につなげています。また必要に応じて数秒以内にでも対応行動を起こすサービスも提供しています。

いつ、どこで内部ネットワークへの侵入が発生するか分からない時代、誰もが狙われる時代。脅威ハンティングを加えることで、サイバー攻撃から自社の資産、ビジネスを保護することを検討してみてはいかがでしょうか。

EDR(Endpoint Detection and Response)とは?」について調べてみよう!

脅威ハンティングの最前線

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「脅威ハンティング」の最新記事


脅威ハンティングとは?具体的な内容を解説
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング