サイバー犯罪者はかつてないほど巧妙になっており、サイバー脅威ハンティングは、堅牢なネットワーク、エンドポイント、およびデータセットのセキュリティ戦略にとって不可欠な要素となっています。高度な外部攻撃者や 内部脅威が 初期のネットワーク防御システムを逃れた場合、数カ月間検出されないままとなる可能性があります。この間に、機密データの収集、機密情報の漏洩、 ログイン認証情報の確保などが 行われ、ネットワーク環境全体に潜入することが可能になります。セキュリティ担当者は、自動化されたサイバー脅威検知システムが差し迫った攻撃を通知してくれるのを黙って待つ余裕はもはやありません。サイバー脅威ハンティングでは、攻撃による被害が発生する前に、潜在的な脆弱性や脅威をプロアクティブに特定することができます。

Q: サイバー脅威ハンティングの仕組み

サイバー脅威ハンティングは、人的要素とソフトウェアソリューションのビッグデータ処理能力を組み合わせたものです。人間の脅威ハンターは、ソリューションとインテリジェンス／データを使用して、一般的な防御を回避する可能性のある敵対者を発見し、複雑な セキュリティ監視・分析 ツールのデータを利用して、脅威をプロアクティブに特定・無力化します。人間の直感、戦略的・倫理的思考、創造的な問題解決は、サイバーハンティングのプロセスにおいて不可欠な役割を果たします。このような人間の特性により、組織は自動化された 脅威検知ツールだけに 頼るよりも迅速かつ正確に脅威の解決を実施することができます。

Q: 脅威ハンティングを始めるために必要なことは？

サイバー脅威ハンティングが機能するためには、脅威ハンターはまず、異常の特定をより適切に行うために、予測または承認されたイベントのベースラインを確立する必要があります。このベースラインと最新の脅威インテリジェンスを使用して、脅威ハンターはセキュリティデータと脅威検出技術によって収集された情報を調べます。これらのテクノロジーには、 セキュリティ情報・イベント管理ソリューション（SIEM） 、 マネージド検知・対応（MDR） 、その他の セキュリティ分析ツールなどが あります。エンドポイント、ネットワーク、クラウドのデータなど、さまざまなソースからのデータを装備すれば、脅威ハンターは潜在的なリスク、不審なアクティビティ、通常から逸脱したトリガーをシステムから探し出すことができます。既知の脅威や潜在的な脅威が検出された場合、脅威ハンターは仮説を立て、ネットワークを詳細に調査します。このような調査の間、脅威ハンターは、脅威が悪意あるものか良性なものか、あるいはネットワークが新しいタイプのサイバー脅威から適切に保護されているかどうかを発見しようとします。サイバー脅威ハンティングは脅威インテリジェンスの一部ですか？サイバー脅威インテリジェンスとは、ビジネスが直面する脅威の理解を深めるために、データの分析、収集、優先順位付けに焦点を当てたものです。

概要

サイバー脅威ハンティングとは、インターネット・セキュリティに対する前向きなアプローチであり、脅威ハンターが組織のネットワーク内に潜むセキュリティ・リスクを積極的に探索する。自動脅威検出システムのような受動的なサイバーセキュリティ・ハンティング戦略とは異なり、サイバー・ハンティングは、ネットワークの自動防御システムを回避する可能性のある、これまで検出されていなかった、未知の、または修復されていない脅威を積極的に探し出します。

サイバー脅威ハンティング

ハイブリッドITとは何か？

サイバー犯罪者はかつてないほど巧妙になっており、サイバー脅威ハンティングは、堅牢なネットワーク、エンドポイント、データセットのセキュリティ戦略にとって不可欠な要素となっています。高度な外部攻撃者や内部脅威が初期のネットワーク防御システムを逃れた場合、数カ月間発見されないままとなる可能性がある。この間に、機密データを収集したり、機密情報を漏洩させたり、ログイン認証情報を確保したりして、ネットワーク環境全体に潜入することが可能になる。

セキュリティ担当者はもはや、自動化されたサイバー脅威検知システムが差し迫った攻撃を通知してくれるのを黙って待つ余裕はない。サイバー脅威ハンティングでは、攻撃が被害をもたらす前に、潜在的な脆弱性や脅威をプロアクティブに特定することができる。

サイバー脅威ハンティングの仕組み

サイバー脅威ハンティングは、人的要素とソフトウェア・ソリューションのビッグデータ処理能力を組み合わせたものである。人間の脅威ハンターは、ソリューションとインテリジェンス／データを使用して、一般的な防御を回避する可能性のある敵対者を発見し、複雑なセキュリティ監視・分析ツールのデータを利用して、脅威をプロアクティブに特定・無力化します。

人間の直感、戦略的・倫理的思考、創造的な問題解決は、サイバーハンティングのプロセスにおいて不可欠な役割を果たす。このような人間の特性により、組織は自動化された脅威検知ツールだけに頼るよりも迅速かつ正確に脅威を解決することができる。

脅威ハンティングを始めるために必要なことは？

サイバー脅威ハンティングが機能するためには、脅威ハンターはまず、異常事態をよりよく特定するために、予期される、あるいは承認された事象のベースラインを確立しなければならない。このベースラインと最新の脅威インテリジェンスを使って、脅威ハンターはセキュリティデータと脅威検知テクノロジーによって収集された情報を調べ上げることができる。これらのテクノロジーには、セキュリティ情報・イベント管理ソリューション（SIEM）、マネージド検知・対応（MDR）、その他のセキュリティ分析ツールが含まれる。

エンドポイント、ネットワーク、クラウドのデータなど、さまざまなソースからのデータを装備すれば、脅威ハンターは潜在的なリスク、不審なアクティビティ、通常から逸脱したトリガーを探すためにシステムを精査することができる。既知の脅威や潜在的な脅威が検出された場合、脅威ハンターは仮説を立て、ネットワークを詳細に調査することができる。このような調査の間、脅威ハンターは、脅威が悪意あるものか良性なものか、あるいはネットワークが新しいタイプのサイバー脅威から適切に保護されているかどうかを発見しようとする。

サイバー脅威ハンティングは脅威インテリジェンスの一部なのか？

サイバー脅威インテリジェンスとは、ビジネスが直面する脅威の理解を深めるために、データの分析、収集、優先順位付けに焦点を当てたものである。

脅威ハンティング調査の種類

脅威ハンティングには3つの調査タイプがある：

構造化： このタイプのサイバーセキュリティ・ハンティングは、攻撃の指標と攻撃者の戦術、技術、手順（TTP）に基づいている。MITRE Adversary Tactics Techniques and Common Knowledge（ATT&CK® ）フレームワークを使用した構造化ハンティングにより、脅威ハンターは悪意のある行為者がネットワークに危害を加える前に特定することができます。
非構造化： 脅威ハンターは、トリガーまたは侵害の指標（IoC）に基づき、非構造化ハンティングを使用して、トリガーまたはIoCが発見される前と後の両方で、ネットワーク全体で顕著なパターンを検索します。
状況ベースまたは脅威インテリジェンスベース： 仮説は、ネットワークリスク評価中に発見された脆弱性など、状況的状況から導き出される。最新の脅威インテリジェンスにより、脅威ハンターはネットワークを分析する際に、サイバー攻撃の傾向や攻撃者のTTPに関する内部データやクラウドソースデータを参照することができます。

これら3つの調査タイプすべてにおいて、脅威ハンターはイベントを通じて異常、弱点、または予期された、または許可されたイベント以外の不審な活動を探索する。セキュリティ・ギャップや異常なアクティビティが発見された場合、ハンターはサイバー攻撃が発生または再発する前にネットワークにパッチを当てることができる。

サイバー脅威ハンティングの4つのステップ

サイバー脅威ハンティング・プログラムを効果的に開始するには、セキュリティ担当者が従うべき4つのステップがある：

仮説を立てる： 脅威ハンターは、組織のインフラ内に存在する可能性のあるリスクや脆弱性、現在の脅威インテリジェンスや攻撃者のTTP、あるいは不審な活動や標準的なベースラインの活動から逸脱したトリガーに基づいて仮説を立てるべきである。また、知識、経験、創造的な問題解決能力を駆使して、脅威の仮説を立て、それを検証するための道筋を決めることもできる。
調査の開始調査中、脅威ハンターはSIEM、MDR、User Entity Behavior Analyticsなどの脅威ハンティング・ソリューションから得られる複雑で過去のデータセットを活用することができる。仮説が確認され、異常が検出されるか、あるいは仮説が良性であることが判明するまで、調査は進められる。
新しいパターンを発見する： 異常や悪意のある活動が発見された場合、次のステップは迅速かつ効率的な対応を展開することです。これには、ユーザーの無効化、IPアドレスのブロック、セキュリティ・パッチの導入、ネットワーク設定の変更、認可権限の更新、新しい識別要件の導入などが含まれる。セキュリティ・チームがネットワーク脅威のプロアクティブな解決に取り組むことで、脅威行為者のTTPや、今後これらの脅威をどのように軽減できるかを学ぶことができます。
対応、強化、自動化サイバー犯罪者は常に進歩し、新たなネットワーク脅威を作り出しているため、脅威ハンティングの仕事に終わりはありません。サイバー脅威ハンティングは、自動化された脅威検知テクノロジーやセキュリティ・チームの現在の脅威特定・修復プロセスと並行して、組織内で日常的に行われるようになる必要があります。

サイバー脅威ハンティングの最重要課題とは？

サイバー脅威ハンティングは、脅威の検出と修復に対してプロアクティブで実践的なアプローチを取るため、このセキュリティ対策を実施する際に大きな課題に直面する組織もある。サイバー脅威ハンティング・プログラムを成功させるためには、組織は3つの重要な要素を調和させなければならない：

専門の脅威ハンターサイバー脅威ハンティングに関わる人的資本は、間違いなく最も重要な要素である。脅威ハンターは、脅威の状況を熟知し、巧妙な攻撃の警告サインを素早く特定できる専門家でなければならない。
包括的なデータ：脅威を適切に探し出すには、ハンターはインフラ全体を可視化する豊富なデータ（現在のデータと過去のデータの両方）にアクセスできなければならない。このように集約されたデータがなければ、脅威ハンターはエンドポイント、ネットワーク、クラウドインフラストラクチャに基づいて、情報に基づいた脅威の仮説を立てることができません。
最新の脅威インテリジェンス：スレットハンターは最新の脅威インテリジェンスを備えなければならず、これにより現在のサイバー攻撃の傾向と内部データを比較することができる。どのような新しい脅威やトレンドの脅威が存在するのかを知らなければ、脅威ハンターは潜在的なネットワーク脅威を正しく分析するために必要な情報を得ることができない。

これら3つのコンポーネントすべてを配備し、シームレスに連携させるには、多くの組織的リソースが必要となる。残念ながら、一部のセキュリティ・チームは、本格的なサイバー脅威ハンティング・プログラムを確立するための適切なツール、人材、情報にアクセスできない。

OpenText Cybersecurityによるマネージド・サイバー脅威ハンティングのご紹介

組織のインフラをうまく保護するには、リアクティブなアプローチではなく、プロアクティブなアプローチが必要だ。自動化された脅威検知技術だけで機密データや情報を保護できる時代は終わった。その代わりに、セキュリティ・チームは、外部からの攻撃者や内部の脅威が被害をもたらす前に、十分な情報に基づいた仮説を立て、ネットワークの異常やリスク、不審な活動をピンポイントで特定できるような、継続的なサイバー脅威ハンティング・プログラムを実施する必要があります。

ソフトウェアやリソースに投資することなく、サイバー脅威ハンティングを実現するマネージド・サービスをお探しですか？OpenText™ Security Servicesは、状況ベース、非構造化ベース、構造化ベースの脅威を実行し、異常、弱点、不審な行動を特定するための、ポイントインタイムの脅威ハントとサブスクリプションベースのサービスを提供します。リスクとコンプライアンス、デジタルフォレンジック、インシデントレスポンスに関する専門知識と組み合わせることで、お客様はOpenTextを信頼してサイバー耐性を向上させることができます。