海外コメンタリー

サイバー脅威のハンティングとは?--何が必要でいかに実行するか

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2016-05-19 06:30

 コンピュータフォレンジックの専門家らは、現在のセキュリティ脅威検知技術の向かう先に、サイバー脅威のハンティングという考え方があることを示唆している。本記事では、サイバー脅威のハンティングの特徴について解説する。

 セキュリティ分野のアナリストは、「侵入を検出しました」という通知を受け取るまで座して待つのではなく、脅威となるアクティビティの証拠を求めて企業のインフラを精査するという、サイバー脅威のハンティングという考え方に従って行動している。このことは、SANS InstituteのRobert M. Lee氏とRob Lee氏が著したホワイトペーパー「The Who, What, Where, When, Why and How of Effective Threat Hunting」(効果的な脅威のハンティングにおける5W1H)にも記されている。

サイバー脅威のハンティングとは何か?

 Sqrrl Data(米国のサイバー情報コミュニティーをルーツに持ち、先進的なサイバーセキュリティとビッグデータに多大な投資をしている企業)のホワイトペーパー「A Framework for Cyber Threat Hunting」(サイバー脅威のハンティングに向けたフレームワーク)では、サイバー脅威のハンティングを以下のように定義している。

ネットワークを積極的に何度も反復して検索し、既存のセキュリティソリューションによる網の目をかいくぐるような先進的脅威を検知し、隔離するためのプロセス。

 また、同ホワイトペーパーには「脅威のハンティングは、SIEM(Security Information and Event Management)のような自動化されたシステムにのみ頼るのではなく、手作業と、マシンによって支援されるテクニックで構成されている。アラートは重要であるとはいえ、検知プログラムにおいてアラートのみに焦点を当てることはできないのだ」とも記されている。

 SANS Instituteの著者らは、サイバー脅威のハンティングを、積極的な防御戦略に以下の要素を加えたものだと定義している。

  • インテリジェンス:データを収集するとともに、使用可能な情報に変え、その情報と競合する可能性のある情報源を分析し、有益な知識を導き出す。
  • 対抗策:サイバー攻撃、特にAdvanced Persistent Threat(APT)攻撃に対する防御として、法に触れない範囲で組織が取り得る対抗手段を実施する(民間組織による実施は推奨されていない)。
サイバー脅威のハンティングとは
提供:iStock

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]