脅威ハンティング:いつ始めるか、誰が適任か

2018年4月25日

RSA 2018で注目された話題の1つは、「脅威ハンティング」でした。近年のAPT攻撃への対抗策として脅威ハンティングが必要であるという点について、エキスパートの見解は一致しています。意見が分かれるのは、脅威ハンティングとは実のところ何なのか、どのような対策が含まれるのか、という部分です。そこでエキスパートらは『How to Hunt for Security Threats』という資料を活用することで合意しました。この資料では、脅威ハンティングを、自動化された予防および検知のシステムが捕捉できなかった高度な脅威の発見を可能とする、アナリストを中心としたプロセスであるとしています。

この定義からすると、脅威ハンティングはサイバーセキュリティのエキスパートが行うべきものであり、自動化はできないということになります。しかし、エキスパートによる脅威ハンティングの結果は、自動検知システムの改良に役立ちます。かつてはエキスパートの目で確かめる必要があった攻撃シナリオを、システムが学習して検知できるようになるのです。

いつ行うか

「自社ネットワーク内に危険はあるか?」という問いは的外れだ、危険は必ずあるのだ、という意見があります。だからすでに脅威ハンティングを行っていてしかるべきだ、と。それが常に真実とは限らないことを個人的には望みますが、かといって脅威ハンティングをしなくてよいという意味ではありません。特に、大規模な分散型の企業インフラの場合、脅威ハンティングは必須です。

今から取り組むとなったとして、どう進めるべきか。脅威ハンティングは、一定のリソースと一定レベルのセキュリティシステムを必要とする高度なセキュリティ対策です。したがって、脅威ハンティングのプロセスを整備するか、十分にこなれた検知および対応のシステムを採用するか、どちらかを選ばなければならない場合には、後者を選ぶべきでしょう。

十分にこなれた検知と対応のシステムがあれば、深刻度の低い脅威をハンティングの対象範囲から除外することができ、ハンティング担当者がそのシステムから有意な情報を得ることもできます。

誰が行うか

脅威ハンティングは社内のスペシャリストが担当すべきか、外部のエキスパートがすべきか、という問題があります。どちらにもメリットとデメリットがあります。社内のスペシャリストならば、ローカルネットワーク特有のアーキテクチャや仕様に関する知識があります。外部のサイバーセキュリティエキスパートならば、脅威の最新動向について多大な知識を持ち合わせていますが、ローカルインフラについて知識を得るのに多少の時間が必要になることでしょう。理想は、内部と外部の両エキスパートが交代であたる体制です(事情が許せば、そしてすでに内部のエキスパートがいれば、の話ですが)。

企業ネットワークの多くは、ある程度似通っているものです。もちろん例外もありますが、非常にまれです。さまざまな企業の脅威ハンティングを日常的にこなしている外部エキスパートであれば、会社によっていくらかの違いがあっても問題なく責務を果たせるでしょう。

担当者を社内でまかなう場合、脅威ハンティングを継続して行うようになると退屈な日常作業が増える、という面もあります。ひたすらログを見ながら異常なプロセスがどこに隠れているか見つけ出す作業は、熱意あるITプロフェッショナルですら疲弊する単調な仕事です。1人の脅威ハンティング担当者がフルタイムであたるより、社内のセキュリティオペレーションセンターにいる複数のスペシャリストが交代で担当する方がよいでしょう。

担当者に求められる資質には、注意深さ、忍耐強さ、サイバー脅威の分野における豊富な経験が挙げられます。直感力もこれに劣らず重要ですが、そのような人材はなかなか見つからないかもしれません。直感力を数値で測ることはできませんし、履歴書に書いてあることも滅多にありませんから。

Kaspersky Labでは、外部エキスパートとしての役割を担う、当社スペシャリストによる脅威ハンティングのサービスをご用意しています。企業や組織のインフラを調査し、現在起きているセキュリティ侵害や過去の侵害の痕跡を探し出すほか、24時間体制での監視、サイバー脅威データの継続的な分析も提供しています。Kaspersky Threat Huntingサービスの詳細については、こちらのページをご覧ください。