サイバー攻撃が巧妙化する現在、受動的な検知だけでは組織を守り切れません。 スレットハンティング(Threat Hunting)とは、攻撃の兆候がないか能動的にログを探索し、潜伏する脅威を発見する手法です。
「スレットハンティングを始めるには、高価なSIEM(統合ログ管理基盤)や高度な専門部隊が必要」と誤解されがちですが、実は既存のEDR/XDRログがあればスモールスタートが可能です。 本記事では、SIEMを未導入の組織でも実践できる、EDR/XDRログを活用したスレットハンティングの具体的な手順とクエリ例を解説します。
スレットハンティングとは?注目される背景と必要性
サイバー攻撃は年々巧妙化し、従来のアンチウイルスやファイアウォールだけでは防ぎきれない時代となっています。これらの製品は「既知の脅威」を防ぐ仕組みですが、攻撃者は日々新しい手法を開発し、検知をすり抜けることを狙っています。
近年は EDR(Endpoint Detection and Response) や XDR(Extended Detection and Response) が普及し、エンドポイントやネットワークの挙動を詳細に記録・分析できるようになりました。これにより、従来と比較し高度な検知と対応が可能になっています。しかし、EDR/XDRの導入だけでは十分ではありません。
EDR/XDRを活かす能動的探索 ― スレットハンティングの重要性
EDR/XDRは強力な検知基盤ですが、基本的には「アラートが出たら対応する」受動的な仕組みです。攻撃者が潜伏している場合や、既存ルールを回避する未知の攻撃には十分に対応できません。
そこで必要になるのがスレットハンティングです。スレットハンティングとは「攻撃者がこう動いているかもしれない」という仮説を立て、ログを横断的に調査する能動的な活動のことです。
これはEDR/XDRの自動検知だけでは不可能な領域であり、未知の脅威を見逃さないためには不可欠です。海外ではAPT攻撃やゼロデイ攻撃の増加を背景に、スレットハンティングがセキュリティ戦略の一部として定着しています。
一方、日本では導入率が低く、その背景には次のような要因があります。
日本でスレットハンティング導入が遅れている要因
|
要因 |
内容 |
|
攻撃前提の意識不足 |
「自社は狙われていない」という前提でセキュリティを考える傾向が強い。 |
|
事後対応に偏重 |
インシデント発生後の対応に重点が置かれ、予防や能動的な脅威探索が軽視されている。 |
|
コスト志向の強さ |
セキュリティ投資が「必要最低限でよい」という認識により、予防・ハンティングへの予算が確保されない。 |
|
情報共有への抵抗 |
脅威情報やインシデント情報の共有に消極的で、組織間の連携が進みにくい。 |
これらの要因が重なり、国内ではスレットハンティングの文化が根付きにくい状況となっています。
こうした状況を受け、政府は国家サイバーセキュリティ戦略[i]で「能動的に脅威を探し出すスレットハンティングの体系的な実施」を明記し、官民連携で防御力を強化する方針を打ち出しています。
さらに、GSOC(政府統合SOC)の整備や、アタックサーフェスマネジメント、プロテクティブDNSなどの新施策も推進されています。
スレットハンティングの目的と得られるもの
スレットハンティングは、単なるアラート対応やログ確認ではありません。攻撃者の視点に立ち、潜在的な侵害が起きていることを前提に、能動的に脅威を探索するプロセスです。EDR/XDRが収集・提供する膨大なテレメトリデータ(端末やアプリの動作データ)を活用し、仮説を立てて検証を繰り返すことで、従来の受動的な検知を超えた精度と対応力を高めることができます。
1) 攻撃ライフサイクルの兆候を早期に捉える
攻撃は一度で終わるものではなく、偵察・権限昇格・横展開といった複数の段階を経て進行します。EDR/XDRのアラートは既知のパターンに依存するため、攻撃者が検知回避を行えば見逃される可能性があります。
スレットハンティングでは、MITRE ATT&CK®などのフレームワークを参考に、「この環境で攻撃者はどのように動くか」という仮説を立て、ログを精査することで、攻撃の兆候を早期に発見できます。
2) インシデント対応力の強化
スレットハンティングは調査だけでなく、対応力を鍛えるトレーニングにもなります。定期的なハンティングを行うことで、担当者はログ解析スキルを磨き、異常検知の精度を高めることができます。その結果、インシデント発生時の初動対応が迅速になり、被害を最小化できる可能性が高まります。
3) セキュリティ運用の継続的改善
ハンティングで得られた知見は、検知ルールやプレイブックの改善に活用できます。こうした改善を積み重ねることで、組織全体のセキュリティ運用が成熟し、攻撃に強い体制を構築できます。
スレットハンティングを成功させる3つのポイント
スレットハンティングの価値を最大化するために、現場で有効な3つのポイントを整理します。
1) 予防・検知・対応のサイクルを回し成熟度を高める
スレットハンティングは仮説検証型の活動であり、仮説の立案、ログ分析、分析結果の運用への取り込みを定期的に回すことで効果が高まります。活動で得られた攻撃の兆候を検知ルールやインシデント対応プレイブックへ継続的に適用することで実効性が継続的に高まります。活動で得られた改善点を予防策(パッチ適用、アクセス制御、脆弱性管理など)に反映し、定期的に運用することで、組織のインシデント対応能力を向上させます。
2) 誤検知を学習資産に転換する
誤検知ゼロは現実的ではありませんが、ノイズのパターン化、除外ルール化、テレメトリの補強を重ねるほど精度は向上します。「誤検知の原因調査→ハンティングルールの調整→誤検知の除外」を繰り返しナレッジ化することで、誤検知は削減しながらナレッジが増える前向きなプロセスに変わります。
3) チームと経営への価値訴求を設計する
ハンティングの目的をKPI/KRIで可視化します。成果の見える化が進むほど現場のモチベーションが上がり、経営層からの支援も得やすくなります。
例:
- ハンティングにかかる時間の短縮
- 検知カバレッジ(どの攻撃を検知できるか)の拡張
- 仮説から有効な検知への転換率
- 検知ルール追加数
- 横展開の封じ込め件数
スレットハンティングを始めるためのステップ
スレットハンティングは高度な取り組みですが、最初から完璧な体制を整える必要はありません。
多くの企業が「スレットハンティングにはSIEMが必須」と考えがちですが、実際には以下のような点からEDR/XDRログだけでも十分に始められます。
EDR/XDRは詳細なテレメトリを提供
プロセス実行、ファイル操作、ネットワーク接続など、攻撃の兆候を捉えるために必要な情報はEDR/XDRログに含まれています。
初期段階では横断分析より仮説検証が重要
SIEMは複数ソースのログ統合に強みがありますが、ハンティングの本質は「仮説を立てて検証する」ことです。まずはEDR/XDRログで小規模に始める方が効率的です。
コストと導入ハードルを下げられる
SIEMは構築・運用にコストがかかります。EDR/XDRログを活用すれば、既存環境で追加投資なしにハンティングを試せます。
次に、初めてスレットハンティングを実施する組織が押さえるべき基本ステップを紹介します。
1) 目的を定義する
「何を探すのか」を明確にすることが第一歩です。例えば、次のような目的を設定します。
- 攻撃の兆候を早期に発見する
- 検知ルールを改善する
- インシデント対応力を強化する
2) データを整備する
ハンティングにはログや挙動データが不可欠です。EDR/XDRが導入済みなら、そのデータを活用しましょう。確認すべきポイントは以下です。
- 必要なログが十分に収集されているか
- 検索・分析が可能な環境が整っているか
3) 仮説を立てる
「攻撃者がこう動いているかもしれない」という仮説を作成します。MITRE ATT&CKなどのフレームワークを参考に、よくある攻撃手法を調べると効果的です。
例:
- ATT&CK:T1218 Signed/System Binary Proxy Execution[ii]
- System Binary Proxy Execution, Technique T1218 - Enterprise | MITRE ATT&CK®
- rundll32.exe, msiexec.exe, regsvr32.exe などの正規署名済みバイナリで悪性コードをインターネット上から取得し実行するケース。
CrowdStrikeでの検索例:
|
#event_simpleName=ProcessRollup2 event_platform=Win | in(field="FileName", values=["regsvr32.exe","rundll32.exe","mshta.exe"]) | (CommandLine=*http://* OR CommandLine=*https://*) |
4) 小規模から始める
いきなり網羅的な調査に取り組むことは現実的ではありません。まずは小さな範囲から始めることが重要です。結果を記録し、得られた知見を検知ルールや運用手順に反映し、それを基に新たな調査に取り組むといったスモールスタートを推奨します。
5) 継続的に改善する
スレットハンティングは一度で終わる活動ではありません。定期的に実施し、成果を積み重ねることで、組織全体のセキュリティ成熟度が高まります。
スレットハンティングの次のステップ:SIEMとフレームワーク活用
スレットハンティングは、EDR/XDRログを活用した初期段階から始められますが、成熟度を高めるためには、より広範なログ収集と体系的なアプローチが不可欠です。
ここでは、次のステップとして検討すべき3つの方向性を紹介します。
1) SIEMでログの統合と相関分析を強化する
EDR/XDRはエンドポイントやネットワークの挙動を詳細に記録しますが、攻撃の全体像を把握するには、認証ログやクラウドログ、ネットワーク機器ログなど複数ソースの情報が必要です。
SIEM(Security Information and Event Management:セキュリティログ監視基盤)を導入することで、これらのログを統合し、相関分析によって攻撃の兆候をより早期に発見できます。
|
実践例: ・EDR/XDRログとActive Directory認証ログを組み合わせて横展開の兆候を検出 ・VPNログとクラウドアクセスログを組み合わせて不審なリモート接続を特定 |
2) MITRE ATT&CKなどのフレームワークで体系化する
スレットハンティングは仮説検証型の活動ですが、攻撃手法を体系的に整理することで、抜け漏れを防ぎ、精度を高められます。
MITRE ATT&CKは、攻撃者の戦術や技術(TTP)を網羅したフレームワークであり、ハンティングの仮説立案や検知カバレッジ評価に役立ちます。
事実上の業界標準であり、多くの情報源でATT&CKベースでのTTP評価がなされています。
|
実践例: ・横展開(Lateral Movement)に関連するTTPをATT&CKで確認 ・ハンティング結果をATT&CKマトリクスにマッピングし、カバレッジを可視化 |
3) 自動化とSOAR連携で効率化する
ハンティングは人手を要する活動ですが、調査結果を即座に対応に結びつけるためには自動化が有効です。
SOAR(Security Orchestration, Automation and Response:セキュリティ運用自動化基盤)を活用し、SIEMやEDR/XDRと連携することで、検知から隔離までのプロセスを自動化できます。
|
実践例: ・SIEMで検知した異常をSOARで自動隔離 ・ハンティングで得たルールをSOARプレイブックに反映 |
スレットハンティングを始めた後はよりよく改善させることが重要です。
SIEMによるログ統合、MITRE ATT&CKによる体系化、SOARによる自動化を組み合わせることで、攻撃に強い持続可能な体制の構築が期待できます。
おわりに
本記事では、スレットハンティングの概要から、その目的、得られるもの、注意すべき点までを解説しました。
スレットハンティングは、攻撃を止める仕組みではなく、見えにくい脅威を探し出し、検知精度や対応力を高めるための活動です。いきなり完璧な体制を整えようとする必要はありません。SIEMや膨大なログ基盤の構築を待つよりも、まずは現在手元にあるEDR/XDRログを活用し、できる範囲から始めてみることをおすすめします。
小さな一歩でも、継続することで組織のセキュリティ成熟度は着実に向上します。まずは小さく始めることが、次の改善につながる第一歩です。
[i] https://www.nisc.go.jp/pdf/policy/kihon-s/cs2024_gaiyou.pdf
[ii] System Binary Proxy Execution, Technique T1218 - Enterprise | MITRE ATT&CK®
https://attack.mitre.org/techniques/T1218/
