脅威ハンティングは、コンピューターやネットワークに潜んでいる脅威を見つけ出して対処する行為です。EDR(Endpoint Detection and Response)の広がりとともに脅威ハンティングという言葉をよく聞くようになりました。
EDRデータを分析して脅威を探し出す
マルウェアを分析し、その特徴からコンピューターに侵入するマルウェアを捕捉して侵入を阻止するテクノロジーがアンチウィルスですが、マルウェアの変化の速さやステルス化によって有効に機能しなくなってしまいました。そこで新たな防御テクノロジーとしてEDRが台頭します。EDRはエンドポイントつまりコンピューター端末の状況からマルウェアを検知し対処するテクノロジーです。マルウェアが侵入することで端末に起きるさまざまな変化をとらえ分析し、問題が起きる前に対応をすることでネットワークの安全を守ります。ですから、EDRは常にコンピューターやネットワークからさまざまな情報を集めて分析し、異常が起きていないか、脅威が潜んでいないか監視し、脅威が発覚する前に対処します。つまり脅威ハンティングはEDRと深く関わるテクノロジーだと言えます。
サイバー犯罪捜査などで用いられるデジタルフォレンジックは、脅威が表面化した後に原因を解明することを主眼にコンピューターを分析するテクノロジーです。また、脅威インテリジェンスという言葉もありますが、脅威インテリジェンスは脅威の内容や手法、その他を分析して脅威の傾向や背景を探るテクノロジーになるかと思います。例えばデータ窃取を目的にネットワークの端末にマルウェアを仕掛けられたケースであれば、端末やネットワークの日々の挙動からマルウェアが仕掛けられたことをデータが窃取される前に発見するテクノロジーが脅威ハンティングであり、データが窃取されたことが判明した後にその原因を追究するのがフォレンジックです。そして、だれがデータを窃取したのか、目的は何かなどについてコンピューターやネットワークのデータを解析して調べるのが脅威インテリジェンスではないかと思います。
EDRを拡張したXDRを視野に注目度増す
SOC(Security Operation Center)はサイバー攻撃の検知や分析を行うことを専門に行う部門で、SOCを外部にアウトソーシングしている企業が多いのが実態です。企業のEDR導入の進展に伴い、外部SOCが顧客企業のEDRデータの分析を手がけるケースが増えているようですが、昨今はEDRデータの分析を内部で行うことを検討している企業も少なからず見受けられるようです。
AIによる自律的な分散型エンドポイントインテリジェンスを活用してサイバーセキュリティの未来を開拓しているセンチネルワン(米カリフォルニア州)が最近発行したホワイトペーパー「脅威ハンティングを成功させて効果を上げるための6つのステップ」では、効果的な脅威ハンティングを実現することの意義について「多忙なアナリストの作業を軽減するとともに、SOCが将来にわたって既知および未知のさまざまな攻撃に対応できるようにする」ことを指摘し、効果的な脅威ハンティングについて解説するとともにセンチネルワン製品の優位性について説明しています。
脅威ハンティングが注目される背景として、EDRを拡張させたXDRテクノロジーが注目されつつあり、XDRについて「EDRを拡張し脅威検知と分析、インシデント対応に加えて、脅威ハンティングを提供するプラットフォーム」(独立系調査会社フォレスター・リサーチ)との定義付けがなされるなど、脅威ハンティングに比重を置いた見方がなされている点があるように思います。「高度な脅威ハンティングテクノロジーを搭載したXDR製品を利用すれば、高いコストをかけてSOC業務をアウトソーシングしなくても簡単に脅威ハンティングが可能になる」とセンチネルワンは言います。XDRはSOCをサポートする一方、SOCの在り方に変革をもたらすかもしれません。
■出典・参考