セキュリティ運用の新たな一手　脅威ハンティングサービス

▼ 目次
１．従来型の検知手法の限界
２．脅威ハンティングとは
３．脅威ハンティングと防御策
４．Akamai Huntの特徴

１．従来型の検知手法の限界

　近年、標的型攻撃やランサムウェアオペレーションに関わらず、攻撃者は痕跡が残りづらいファイルレス型マルウェアなどの検知回避を目的としたマルウェアや、環境寄生型(Living off the Land)攻撃などのOSやアプリケーションに組み込まれた正規のソフトウェアを悪用してセキュリティ対策による防御や検知を逃れる形で組織ネットワークへの侵入や攻撃オペレーションを実施することが知られています。

　セキュリティ侵害の被害拡大を防ぐには、これらの攻撃オペレーションをできるだけ初期段階で侵害を発見し対処をしていく必要がありますが、前述のような攻撃者の活動は一般的にウイルス対策ソフトウェア、不正侵入防御システム（IPS）などの従来型の自動的な検知による対策のみでは排除することが難しく、ランサムウェアの実行など実際の被害が発生してはじめて侵害を知るといった事象も多く見受けられます。

セキュリティ運用の新たな一手　脅威ハンティングサービス「Akamai Hunt」とは何か

図 1. 従来型検知手法の検知範囲例

２．脅威ハンティングとは

　前述のように、攻撃者による初期侵入を完全に防ぐことは出来ないという現状において、脅威ハンティングは「組織内にすでに攻撃者が侵入している」ということを前提に、積極的に攻撃者に関連した痕跡を調査する脅威検知手法となります。具体的には侵害範囲を拡大するための内部偵察行為やラテラルムーブメントの検出、悪性ツールを含むマルウェア実行の痕跡などの調査を実施します。

図 2. 内部偵察ツール実行の例

　一般的な脅威ハンティングのプロセスは、ネットワーク装置やセキュリティ製品、OSなど様々なデータソースから情報収集を行います。次に収集した情報に対して独自の検知アルゴリズムを使用し一次解析を実施し、不審な可能性のある情報のみを抽出します。最終的に抽出された情報に対して脅威解析のエキスパートが追加解析を行い、お客様が対応すべき必要な情報のみを通知します。

　アラートに関する推奨対策や緩和策も合わせてお客様に通知し、脅威の早期封じ込めサポートも合わせて実施するサービスの形をとる場合もあります。

図 3. Akamai Huntでの脅威ハンティングプロセス

　セキュリティ装置からのアラートを通知するという意味ではマネージドSOC（Security Operation Center）サービスも同様ですが、基本的なSOCサービスではネットワーク装置やセキュリティ装置でログ収集し、検知ルールに基づいて受動的な形でアラートを生成します。一方、脅威ハンティングではアナリストが介在し、より積極的な形でお客様環境の調査を実施するため、一般的により高度なサービスとして位置付けられます。ベンダーによってはSOCのオプションとして脅威ハンティングが提供されることもあります。

３．脅威ハンティングと防御策

　脅威ハンティング単体でも侵害をより早期発見することに貢献できますが、防御（Protection）を目的とした対策と組み合わせることで、攻撃者の攻撃スピードを低減させた中で侵害検知を行うことができるようになるため、より効果的に組織のサイバーレジリエンスを向上させることができます。

　防御の例としてはアイデンティティの管理、ActiveDirectoryのハードニング、ネットワークセグメンテーション、パッチマネージメント、アプリケーション許可リスティングなど様々ありますが、組織のIT基盤の構成や予算に応じて効果的な対策を実施することが重要になります。

　Akamaiではネットワークの可視化やマイクロセグメンテーションが行えるAkamai Guardicore Segmentation（以降AGS）を提供しております。詳細は https://www.business-on-it.com/datasheet/2025-request-ags/ をご覧ください。

４．Akamai Huntの特徴

　Akamaiでは、マイクロセグメンテーション製品であるAGS提供のオプションとして、脅威ハンティングサービス「Akamai Hunt」を提供しています。AGSでは従来の内部ファイアウォールと比較してよりきめ細やかなホスト/プロセス単位での制御マイクロセグメンテーションを実施することにより、攻撃者のラテラルムーブメントへの防御力を向上させることができます。加えてAkamai Huntを追加利用することで防御、検知の両面でAGSの価値を最大化することができます。