近年、サイバー攻撃の手法は高度化し、従来の受動的なセキュリティ対策だけでは組織の安全を確保することが難しくなっています。このような状況下で、未知の脅威(スレット)を積極的に検出し、迅速に対応するための手法としてスレットハンティングが重要視されるようになりました。
2024年には、情報処理推進機構(IPA)が「脅威インテリジェンス 導入・運用ガイドライン」を公開し、スレットハンティングの重要性と具体的な実施方法を提示しました*1。
さらに、同年に内閣サイバーセキュリティセンター(NISC)が公開した「サイバーセキュリティ2024」では、政府がサイバーセキュリティ体制の強化策としてスレットハンティングの取組みを挙げており、官民を問わずその必要性が高まっています*2。
本記事では、スレットハンティングの基本概念から、その導入と運用におけるベストプラクティスまでを詳しく解説します。
- Recorded Futureの資料を請求する
45か国の政府機関で利用実績を持つ
目次
スレットハンティングとは
スレットハンティングは、組織内に潜む高度な脅威をプロアクティブ(能動的)に探索し、検出するサイバーセキュリティの手法です。従来の脅威フィードや定期レポートに頼った受動的な情報取得だけでは捉えきれない脅威を見つけることができます。
クラウド環境や在宅勤務の普及により攻撃対象が拡大する現代では、攻撃者が組織に侵入する機会が増大しており、既存のセキュリティソリューションだけでは対策が難しい状況にあります。
例えば、米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)が採用しているスレットハンティングでは、次のような活動が展開されています*3。
CISAのスレットハンティングは、「米国のインフラストラクチャーに対するサイバー脅威を探索し、国家的リスクを軽減する」ことをミッションとしています。
CISAのスレットハンティングにおける主な活動
- ネットワーク、エンドポイント、各種データセットを積極的に探索し、既存ツールでは検出が困難な悪意ある活動や疑わしい動きを特定する。
- 連邦政府機関や州・地方・部族・地域政府、さらには重要インフラ部門からの多様なデータを統合・強化し、サイバー攻撃の早期発見と迅速な軽減を実現する。
- インテリジェンスコミュニティ、国防総省、法執行機関、民間セキュリティ企業から得られる情報を追跡し、相関分析することで、脅威の包括的な状況を把握する。
- マルウェアの逆解析や、侵害が疑われるメディアに対する手動のフォレンジック分析を行う。
- 分析結果を広く共有し、脅威の特定と迅速な対策を実施する。
なぜスレットハンティングが重要なのか
現代のセキュリティ環境において、アタックサーフェス(攻撃対象領域)の拡大と脅威の高度化により、従来の脅威を予防することに重きを置いた対策だけでは最新の巧妙な脅威に迅速かつ効果的に対応することが困難になっています。
このような背景から、リアルタイムに情報収集と分析が可能な脅威インテリジェンスを活用したスレットハンティングが、組織のセキュリティ体制を強化するうえで不可欠な要素となっています。
脅威の進化と受動的対策の限界
サイバー攻撃の手法は時代とともに進化してきました。
初期の脅威はウイルスやワームなどのマルウェアが主流で、これらの脅威に対しては、アンチウイルスソフトやファイアウォールなどの脅威に対する予防対策で一定の効果を上げることができました。
しかし、特定の組織や個人を狙った標的型攻撃が登場し、既存のセキュリティ対策をすり抜ける巧妙な手口が用いられるようになりました。
たとえば、内部ネットワークに侵入後、時間をかけて偵察し、機密情報を窃取。その後、システムを破壊するなどの段階的な攻撃を行います。
さらに、近年ではランサムウェア、サプライチェーン攻撃、国家主導のサイバー攻撃など、より複雑で破壊的な脅威が増加しています。
スレットハンティングの必要性
このような状況下で、スレットハンティングというプロアクティブなセキュリティ対策が注目されています。
スレットハンティングは、脅威がすでに組織のネットワーク内に侵入していることを前提に、セキュリティチームが自ら仮説を立て、ネットワークログやエンドポイントデータなどを分析し、脅威を探索する活動です。
スレットハンティングは、組織が予防的なセキュリティ対策だけでは防ぎきれない脅威に対応するための有効な手段として、防衛省でも取組まれています*4。
スレットハンティングが有効な理由
有効な理由 | 説明 |
未知の脅威の検出 | スレットハンティングは、攻撃者がすでにシステム内にいると仮定し、異常な振る舞いを分析することで、未知の攻撃を検出します。 |
攻撃者の戦術や手法の理解 | TTP (攻撃者の戦術、技術、手順)に関する脅威情報を活用し、攻撃者の行動パターンを予測します。 |
プロアクティブなセキュリティ対策 | セキュリティチームが仮説を立て、未知の脅威を探索することで、攻撃が顕在化する前に潜在的な脅威を特定し、被害を未然に防ぎます。 |
スレットハンティングのプロセス
スレットハンティングのプロセスは、例えば以下が挙げられます。
仮説
セキュリティチームはサイバー攻撃に関する知識や経験を基に、「重点的に守るべき領域」や「サイバー攻撃の兆候が現れる可能性のある領域」について仮説を立てます。
脅威インテリジェンスプラットフォームを活用することで、攻撃者の手口や動機を理解し、効果的な仮説立案に役立てることができます。
調査
調査の段階では、仮説に基づいて必要なデータの収集と分析を行います。収集するデータは、ネットワークトラフィック、システムログ、エンドポイントのイベントログなど多岐にわたります。これらのデータを分析することで、仮説を検証し、脅威の痕跡を発見することを目指します。
分析
分析に際しては、スレットハンティングツール(攻撃がまだ発生していない段階で、ネットワークやシステムの異常な動きやパターンを追跡し、未知の脅威を早期に発見するツール群※後述)を用いて、発見された脅威の詳細を解析します。
攻撃者が使用した具体的な手法や攻撃の進行状況を特定し、それらの情報を基に今後の対策強化を図ります。
また、攻撃者のTTPを把握することで、将来的な攻撃の予測や早期検出が可能となり、組織のセキュリティ体制をより強固なものにします。
具体的な分析例
分析対象 | 説明 |
フィッシング攻撃の手法分析 | 使用されたソーシャルエンジニアリング技術や偽装されたメールの特徴を詳細に調査する。 |
マルウェアの挙動解析 | 検出されたマルウェアの動作パターン、通信先、データ収集方法などを詳細に分析する。 |
攻撃者の追跡 | 初期侵入後、攻撃者が内部ネットワークでどのように移動したかを時系列で整理する。 |
データ窃取の手法特定 | 機密情報がどのように抽出され、外部に送信されたかのプロセスを特定する。 |
攻撃者グループの特定 | 使用された手法やツールから、攻撃者グループを特定する。 |
これらの分析結果をもとに、組織は具体的な対策を講じることができます。例えば、特定のマルウェアファミリーに対する検知ルールの強化、不審なアカウント利用の監視強化、データ流出防止策の改善などが挙げられます。
- Recorded Futureの資料を請求する
45か国の政府機関で利用実績を持つ
スレットハンティングの課題と対策
スレットハンティングの過程には課題も存在します。以下では、主な課題と対策について説明します。
誤検知(false positive)の低減
膨大なセキュリティログやネットワークデータから脅威を抽出する際、実際には危険でない事象が誤って脅威と判断されることがあります。
対応の必要がないインシデントに対するアラートが重なることで、セキュリティチームのリソースを圧迫し、緊急性の高い脅威対応に影響を及ぼす可能性があります。
対策として、次のような取組みが有効でしょう。
高精度な機械学習モデルの導入
検知精度が高い機械学習アルゴリズムを搭載したスレットハンティングツールや脅威インテリジェンスサービスを採用することで、誤検知の割合を低減できます。
検出ルールの定期的な見直し
セキュリティ環境や最新の脅威動向に応じたルール更新を行い、スレットハンティングツールが常に自社組織の運用体制にとって最適な状態で運用されるようにすることで、新たな脅威に対しても効果的に対応できます。
膨大なデータの効率的な処理
スレットハンティングでは、膨大なデータを迅速に処理し、脅威を正確に検出することが求められます。しかし、以下のような課題が存在します。
課題 | 説明 |
処理速度の要求 | 脅威の迅速な検出のため、大量のデータをリアルタイムに近い速度で処理する必要がある。 |
多様なデータソース(ネットワーク、エンドポイント、クラウド等) | クラウドや在宅勤務環境など、多様なソースからのデータを統合して分析する必要がある。 |
スケーラビリティ | 攻撃対象領域の拡大に伴い、処理すべきデータ量が膨大になるため、拡張性のある処理システムが必要。 |
これらの課題に対し、スレットハンティングツールを活用することで、次のような解決策が考えられます。
対策
課題 | 解決策 |
処理速度の要求 | ・高速で大規模な収集と自動リンク分析の組み合わせ |
多様なデータソース | ・多様なデータソースからの統合的なデータ収集 |
スケーラビリティ | ・クラウドによる拡張性の確保 |
新たな脅威への迅速な対応
サイバー攻撃は日々巧妙化しており、従来のセキュリティ対策では新たな脅威に迅速に対応することが難しくなっています。特にゼロデイ攻撃や未知のマルウェアなど、従来の検出ルールでは捉えきれない攻撃が増加しており、以下のような課題が発生しています。
課題 | 詳細 |
最新の脅威情報の不足 | 新たな攻撃手法や脆弱性に関する情報がセキュリティチームに迅速に共有されないため、対応が遅れる。 |
対応プロセスの非効率性 | 手動での脅威検出や対応に時間がかかり、攻撃者に有利な状況を作り出してしまう。 |
セキュリティ人材の不足 | 新たな攻撃手法や技術を理解している人材が不足しているため、適切な対応策を立案するのが難しい。 |
対策
対策 | 詳細 |
情報収集 | ・ ネットワークトラフィック、エンドポイントログ、クラウドサービス、ダークウェブ、フォレンジックデータなど、複数の情報源からリアルタイムでデータを取得 |
分析エンジン | ・ 機械学習や脅威検知アルゴリズムを活用 |
高速解析 | ・ 並列処理やクラウドベースの解析技術を採用 |
柔軟なサーチ機能 | ・ キーワード検索 |
スレットハンティングツールとは
スレットハンティングツールとは、組織のネットワークやシステムに潜む脅威を プロアクティブに検出し、サイバー攻撃を未然に防ぐために使用されるツールです。これらのツールは、異常な挙動の分析、脅威インテリジェンスとの統合、ログデータの解析などを行い、潜在的な脅威を特定するのに役立ちます。
スレットハンティングツールの主な種類
スレットハンティングに使用されるツールは多岐にわたり、目的や機能に応じてさまざまなカテゴリに分類されます。以下では、それぞれのツールの特徴や活用方法について詳しく説明します。
EDR
EDR(Endpoint Detection and Response)は、エンドポイント(PC、サーバー、モバイルデバイスなど)上の活動をリアルタイムで監視し、異常な挙動を検知し、分析するためのツールです。マルウェア感染、疑わしいプロセスの実行、権限昇格攻撃などの兆候を検出し、迅速な対応を可能にします。
- エンドポイントのリアルタイム監視
- 行動分析による脅威検知
- インシデント発生時の自動隔離・修復機能
- 詳細なログ収集とフォレンジック分析
SIEMツール
SIEM(Security Information and Event Management)ツールは、組織のネットワーク上のさまざまなシステムやアプリケーションからログデータを収集し、異常な動きを分析します。大量のログデータを統合し、相関分析を行うことで、脅威の早期発見と対応を支援します。
- 大量のログデータの収集・可視化
- 異常な挙動の分析とアラート通知
- 組織全体のセキュリティインシデント管理
- 他のセキュリティツールとの統合(EDR、NTA、SOAR など)
ネットワークトラフィック分析(NTA)ツール
NTA(Network Traffic Analysis)ツールは、ネットワーク上の通信をリアルタイムで監視し、異常な量のデータ転送や不審な挙動を検出するためのツールです。マルウェアのC2通信(コマンド&コントロール)、内部ネットワークでの異常な挙動などを発見するのに有効です。
- ネットワークトラフィックのリアルタイム監視
- 暗号化通信の異常検知(TLS解析など)
- AI/MLを活用した行動分析
- インシデント発生時の詳細なネットワークフォレンジック
脅威インテリジェンスプラットフォーム
脅威インテリジェンスプラットフォームは、外部からの脅威情報を収集および分析するツールです。このツールを活用することで、既知のマルウェア、攻撃手法(TTP:戦術、技術、手順)、悪意のあるIPアドレスやドメイン情報などを提供し、スレットハンティングの精度を向上させます。
- 最新の脅威情報の自動収集・分析
- 攻撃者のTTP分析
- 他のセキュリティツール(SIEM、EDRなど)との連携
- インシデントレスポンス支援
デジタルフォレンジックツール
デジタルフォレンジックツールは、インシデント発生後に攻撃の詳細を調査し、証拠を収集および分析するために使用されるツールです。スレットハンティングの文脈では、攻撃の手がかりを深く解析し、将来の防御策を強化する目的でも活用されます。
- メモリ・ディスク・ネットワークのフォレンジック分析
- マルウェア解析とリバースエンジニアリング
- 不正アクセスやデータ流出の調査
- ログデータの時間軸分析
効果的なスレットハンティングツールの選び方
スレットハンティングを成功させるには、適切なツールの選定が不可欠です。ツールの性能によって、脅威の検出精度や対応スピードが大きく変わります。効果的なスレットハンティングツールを選ぶ際には、データ収集能力、分析機能、可視化とレポート機能などの要素を考慮する必要があります。以下、それぞれのポイントについて詳しく説明します。
データ収集と分析機能
精度の高いスレットハンティングを実現するためには、さまざまなデータソースからリアルタイムに情報を収集し、迅速かつ正確に脅威を分析する機能を備えたツールが有効です。
推奨される性能
機能 | 詳細 |
情報収集 | ・ ネットワークトラフィック、エンドポイントログ、クラウドサービス、ダークウェブ、フォレンジックデータなど、複数の情報源からリアルタイムでデータを取得 |
分析エンジン | ・ 機械学習や脅威検知アルゴリズムを活用 |
高速解析 | ・ 並列処理やクラウドベースの解析技術を採用 |
柔軟なサーチ機能 | ・ キーワード検索 |
- Recorded Futureの資料を請求する
45か国の政府機関で利用実績を持つ
脅威の可視化とレポート機能
検出された脅威情報を直感的に理解できる形で提示することは、迅速な意思決定と効果的な対策の立案に不可欠です。視覚的なダッシュボードや詳細なレポート機能を備えたツールであれば、セキュリティチームや経営層は現状を瞬時に把握し、必要な対応を行えます。
スレットハンティングツールの導入と運用のベストプラクティス
スレットハンティングツールを導入し、その効果を最大限に発揮するためには、単にツールを導入するだけでなく、組織全体で継続的な取組みが必要です。
ここでは、スレットハンティングツール導入後の運用における重要な3つのベストプラクティスについて詳しく解説します。
脅威インテリジェンスフィードの定期的な更新
脅威インテリジェンスフィードを定期的に更新することは、スレットハンティングツールの効果的な運用において非常に重要です。信頼できる情報源から最新の脅威情報を継続的に取り込むことで、新たな脅威や攻撃手法に対する防御力を維持、強化することができます。
脅威インテリジェンスフィードには、以下のような重要な情報が含まれています。
- 攻撃者のTTP
- マルウェアのシグネチャ
- 疑わしいドメイン
- 脆弱性情報
セキュリティチームのスキル向上
スレットハンティングは、高度な知識と経験を必要とする専門的な活動です。セキュリティチーム全体のスキル向上が、スレットハンティングの成功に不可欠となります。
定期的なトレーニングの実施
スレットハンティングに関する最新の知識や技術を習得するためのトレーニングを定期的に実施します。トレーニング内容は、脅威インテリジェンスの活用、マルウェア解析、フォレンジック調査、スレットハンティングツールの操作など、多岐にわたります。
インシデント対応プロセスとの連携
スレットハンティングで発見された脅威に迅速に対応するためには、インシデント対応プロセスとの連携が不可欠です。
発見から対応までのフローの明確化
スレットハンティングで脅威が発見された場合に、誰が、どのような手順で対応するのかを明確に定義します。これにより、対応の遅延や抜け漏れを防ぎ、迅速かつ効果的な対応を可能にします。
自動化ツール(SOAR)との統合
SOAR(Security Orchestration, Automation and Response: セキュリティ運用業務の効率化や自動化を実現するソリューション)などの自動化ツールと連携することで、スレットハンティングで発見された脅威への対応を自動化することができます。例えば、脅威が発見された場合に、自動的に感染端末を隔離することや、関連するログを収集することができます。
感染端末の迅速な把握と隔離による被害拡大防止
スレットハンティングで感染端末が特定された場合に、迅速にその端末をネットワークから隔離し、被害の拡大を防止します。
100万以上の情報ソースから脅威を特定するインテリジェンスプラットフォーム「Recorded Future」
Recorded Futureは、オープンウェブからダークウェブに至るまで100万以上のソースから脅威情報を収集するインテリジェンスプラットフォームです。この情報は、特許取得済みの機械学習と15カ国語に対応した自然言語処理により、リアルタイムで解析されます。
Recorded Futureのモジュールの一つであるSecOpsインテリジェンスを活用することで、セキュリティ運用チームの効率性と脅威検出能力を向上させることができます。以下に主な機能を詳しく説明します。
アラートトリアージの迅速化や他ツールとの連携
- Recorded Futureで検出した脅威情報に関連するアラートの優先順位を示し、セキュリティチームが迅速に意思決定できるようサポートします。
- 既存のSIEM(Security Information and Event Management: システム全体のログを収集・分析し、脅威を検知・通知するセキュリティ管理ツール)、SOAR、EDRなど100以上のセキュリティツールにRecorded Futureの脅威インテリジェンスを連携させることが可能です。
未知の脅威の検出
- 例えば、既存のSIEMツールにRecorded FutureのIoC(Indicator of Compromise:侵害の痕跡)データを取り込むことで、従来のシグネチャベースの検出では見逃されやすい未知の脅威を特定します。
- MITRE ATT&CKフレームワークに対応した攻撃ログの検出により、攻撃手法や戦術を理解し、適切な対策を講じることができます。
調査時間の短縮
- リアルタイムのアラートにより、新たな脅威や重要な変更を即座に把握できます。
- IoCやマルウェアに関するIP、ドメイン、ハッシュ、脆弱性等のデータをSIEMに統合することで、内部ログとの相関分析が可能です。
また、Recorded FutureのASI(アタックサーフェスインテリジェンス)モジュールを活用することで、外部からアクセス可能な組織のアタックサーフェスを24時間365日監視し、脆弱性やサイバー攻撃のリスクをリアルタイムで検知、分析することも可能になります。
Recorded Futureユーザー向けの実践的なハンズオンセミナー
開発元であるRecorded Future社は、ユーザーに対しスキルアップを目的としたハンズオンセミナーを定期的に実施しています。
ユーザーは脅威インテリジェンスの収集、分析、活用方法を実践的に学び、スレットハンティングのスキルを向上させることができます。
- スレットハンティングのデモを申込む
スレットハンティングについて詳しく知りたい方
出典(参考文献一覧)
※1 独立行政法人情報処理推進機構(IPA)| 脅威インテリジェンス 導入・運用ガイドライン,(参照日:2025-03-24)
※2内閣サイバーセキュリティセンター(NISC)|サイバーセキュリティ 2024 ,(参照日:2025-03-24)
※3 Cybersecurity and Infrastructure Security Agency (CISA) | Threat Hunting ,(参照日:2025-03-24)
※4防衛省 | (2024). 防衛白書,(参照日:2025-03-24)
