サイバーセキュリティの状況は劇的に変化しており、攻撃者はネットワークに侵入して長期間検出されないようにするために、高度な手法を開発し続けています。従来のセキュリティ ツールも依然として重要ですが、既知のパターンやシグネチャに基づいて動作するため、高度標的型攻撃を許してしまう余地が残ります。こうした高度な攻撃者は、自動検出システムを回避するために特別に設計された手法を使用します。これにより、ネットワークに足場を築き、インフラストラクチャをマッピングしたり、データを盗んだりするほか、将来の攻撃に備えて潜伏を続けます。

検出されなかった侵害がもたらす財務面および運用上の影響は壊滅的なものになる可能性があります。Mandiant の M-Trends 2025 レポートによると、2024 年の攻撃者の全世界での滞留時間の中央値は 11 日間であり、高度標的型攻撃の中には数か月にわたってアクセスを維持するものもありました。実際、侵入の 7% 以上が 1 年以上も検知されないまま放置されていました。脅威ハンティングは、自動システムでは見逃されるセキュリティ侵害インジケーターをプロアクティブに検索することで、この重大なギャップに対処します。

脅威ハンティング プログラムを導入した組織では、セキュリティ ポスチャーが大幅に改善されたことが報告されています。セキュリティ チームは、アラートを待つのではなく、脅威を積極的に検索することで、攻撃が目的を達成する前に脅威を特定して無効化できます。このプロアクティブなアプローチでは、既存のセキュリティ管理の弱点も明らかになるため、全体的な防御戦略を強化し、将来の攻撃を防ぐのに役立つ貴重な分析情報が得られます。

脅威ハンティングは、仮説に基づく調査プロセスとして機能します。熟練したセキュリティ アナリストが、自動システムでは検出されない悪意のあるアクティビティの兆候を積極的に探索します。セキュリティ チームは、脅威インテリジェンス、システム動作の異常なパターン、新たな攻撃手法に基づいて、潜在的な脅威に関する仮説を立てることから始めます。その後、高度な分析ツールと手動分析を使用して、これらの仮説を体系的に調査します。このアプローチは、セキュリティ ツールが生成したアラートに対応する従来のセキュリティ運用とは根本的に異なります。脅威ハンターは、攻撃者がすでに潜伏していると想定し、その活動を明らかにすることに注力します。

このプロセスは、インフラストラクチャ全体にわたる包括的なデータ収集と分析に大きく依存しています。脅威ハンターは、ログ、ネットワーク トラフィック、エンドポイント データ、ユーザーの行動を調査して、侵害の可能性を示す異常を特定します。セキュリティ自動化を使用して大量のデータを効率的に処理しながら、人間の直感と専門知識を適用して、マシンが見落とす可能性のある微妙なパターンを認識します。その目標は、単に脅威を見つけることにとどまりません。脅威ハンティングの基本は、攻撃者の手法を理解し、検出能力を向上させ、継続的な学習と適応を通じて組織の全体的なセキュリティ ポスチャーを強化することです。

脅威ハンティング手法は、隠れた脅威を発見するための構造化されたアプローチを提供し、それぞれが脅威インテリジェンス リソース、分析手法、調査戦略のさまざまな組み合わせを活用します。セキュリティ チームは通常、具体的な目標、利用可能なデータ、調査対象の脅威の性質に応じて複数の手法を採用します。これらの体系的なプロセスにより、高度な脅威を発見できる可能性を最大限に高めながら、誤った手がかりに無駄な労力を費やすことを最小限に抑えます。

• 仮説に基づくハンティング: 脅威インテリジェンス、業界動向、観測された攻撃パターンに基づいて、潜在的な脅威について根拠が十分にある仮説を立てることから始めます。ハンターは、攻撃者が環境を侵害する可能性のある方法について具体的な理論を立て、その仮説を裏付ける、あるいは反証する証拠を探します。
• インテリジェンスに基づくハンティング: 侵害インジケーター（IOC）や脅威インテリジェンス フィードを活用して、環境内に存在する既知の悪意あるアーティファクトを捜索します。このアプローチでは、既知の攻撃に関連する特定の脅威シグネチャ、IP アドレス、行動パターンを照合することに重点を置きます。
• ML ベースのハンティング: 組織固有の知識と ML アルゴリズムを組み合わせて、環境に固有の異常を特定します。カスタムモデルは正常な行動パターンを学習し、既知のシグネチャと一致しない脅威であっても、侵害を示唆する可能性のある逸脱を検知します。

効果的な脅威ハンティングには、データ収集、分析、対応の機能を組み合わせた高度なツールキットが必要です。これにより、セキュリティ チームは潜在的な脅威を特定して調査できます。これらのツールは連携してインフラストラクチャ全体に包括的な可視性を提供し、ハンターが大量のセキュリティ データを効率的に処理できるようにします。通常、脅威ハンティング プロセスのさまざまな側面をサポートするためには、複数の補完的なツールを導入する必要があります。

• セキュリティ情報およびイベント管理（SIEM）プラットフォームは、環境全体からセキュリティ データを集計して相関付け、一元化された可視性と高度な分析機能を提供します。SIEM システムにより、脅威ハンターは過去のデータを検索し、異なるソース間のパターンを特定し、複雑な相関ルールに基づいてアラートを生成できます。
• エンドポイント検出対応（EDR）ソリューションは、エンドポイント セキュリティ アクティビティを詳細に可視化し、プロセス、ネットワーク接続、ファイル システムの変更に関する詳細なテレメトリーを収集します。これらのツールは、ハンターが疑わしいエンドポイントの挙動を調査し、ネットワーク内のラテラル ムーブメントを追跡するのに役立ちます。
• マネージド ディフェンス サービスは、外部の専門知識と 24 時間 365 日のモニタリングにより、内部の脅威ハンティング機能を強化します。これらのサービスでは、専門知識と高度なハンティング技術を持つ経験豊富な脅威ハンターが、お客様のセキュリティ運用に参画します。
• セキュリティ分析と運用プラットフォームは、ビッグデータ技術と ML を活用して、大量のセキュリティ データを処理および分析します。これらのツールは、高度な攻撃を示唆する微妙な異常やパターンをハンターが特定するのに役立ちます。

脅威ハンティングは、お客様の広範なサイバーセキュリティ戦略にシームレスに統合され、自動検出システムとインシデント対応プロセスを補完することで多層防御を構築します。SIEM プラットフォームやその他のセキュリティ ツールが既知のパターンに基づいてアラートを生成するのに対し、脅威ハンティングは、こうした自動システムをすり抜ける脅威を積極的に検索することで、重要なギャップを埋めます。このアプローチは既存のセキュリティ運用と並行して機能し、検出回避を目的として特別に設計された高度な攻撃者に対する保護が強化されます。

この手法は、セキュリティ運用のワークフローに自然に適合し、予防と対応の間のギャップを埋めます。脅威ハンターはセキュリティ調査チームと連携して、アラートのコンテキストを提供し、不審なアクティビティを検証し、見過ごされる可能性のある関連する脅威を特定します。SOAR プラットフォームとの統合により、脅威ハンティングの結果によって自動対応ワークフローがトリガーされ、封じ込めと修復が迅速化されるとともに、将来の同様の脅威に一貫して対処できるようになります。この統合により、脅威ハンティングは孤立した活動から脱却し、セキュリティ運用のあらゆる側面を何倍にも増強させる活動へと変貌を遂げます。

脅威ハンティング プログラムの効果を測定するには、ハンティング活動を示す運用指標と、組織にもたらされた実際の価値を示す成果指標の両方を追跡する必要があります。成功しているプログラムでは、新たに作成された検出ルールの数、これまで未知だった脅威の発見件数、平均検出時間の改善度といった指標をモニタリングしています。これらの指標は、ハンティング活動が真の脅威を特定することで、時間の経過とともにセキュリティ防御の強化にどの程度貢献しているかを把握するのに役立ちます。

有意義な脅威ハンティングの指標では、単にインシデントやアラートの数を数えるのではなく、発見の質と関連性に焦点を当てています。特定されてその後に修復された優先度の高い脆弱性の数、ハンターが明らかにしたセキュリティ カバレッジのギャップ、検出ルールが改善されるにつれて減少する偽陽性率を追跡します。また、ハンティング活動が脅威インテリジェンスの開発にどのように貢献しているかを測定する必要もあります。これには、新たに記録されたセキュリティ侵害インジケーターや、組織がこれまで認識していなかった攻撃パターンなどが含まれます。

最も価値のある指標は、脅威ハンティングによってリスクが軽減され、セキュリティ ポスチャーが向上する仕組みを示すものです。攻撃者の滞留時間の短縮、ハンティングで検出されたインシデントの割合と自動アラートの割合、ハンティングの結果に基づいて実装されたセキュリティ制御の改善数をモニタリングします。これらの測定は、脅威ハンティング機能への継続的な投資を正当化するのに役立ち、どのハンティング手法と重点分野が最大の成果をもたらすかを明確にすることで、プログラムの最適化を導きます。

効果的な脅威ハンティング チームを構築するには、協力して高度な脅威を特定できる、多様な技術スキルと分析能力を持つ専門家を集める必要があります。優れた脅威ハンターは、ネットワーク プロトコル、オペレーティング システム、攻撃手法に関する深い技術的知識、優れた分析的思考力、パターン認識能力を兼ね備えています。正常なシステム アクティビティと悪意のある動作の違いを理解し、他者が見落としがちな異常を調査する探究心を持つことが求められます。

データ分析、スクリプト言語、セキュリティ ツールに関する習熟度など、技術的な専門知識は必須です。また、サイバー攻撃の手法や脅威アクターの戦術に精通しており、複数のシステムに断片的に残された証拠から攻撃の連鎖を再構築する能力が求められます。効果的な脅威ハンティングには、技術的スキルに加え、複雑な調査の糸口を粘り強く追跡する持続力、新たな検知手法を開発する創造性、技術部門と経営陣の両方に調査結果を伝えるコミュニケーション能力も必要です。Mandiant の脅威ハンティング サービスは、こうした能力を実証するものです。最前線でのインシデント対応の経験と高度なハンティング手法の知識を兼ね備えた熟練の専門家が、隠れた脅威を発見して無効化できるようお客様を支援します。

Google Cloud Security では、最先端のテクノロジーと優れたセキュリティ専門知識を組み合わせた Mandiant Threat Defense を通じて、世界クラスの脅威ハンティング機能を実装します。Google の脅威ハンティング チームが、世界中の最前線でのインシデント対応業務から収集した比類のない脅威インテリジェンスを活用して、お客様の業界を標的とする最新の攻撃者手法や新たな脅威に関する独自の分析情報を提供します。24 時間 365 日のプロアクティブなハンティング活動により、Google Cloud Security は、高度な脅威の検出と対応を迅速化するとともに、知識の伝達と共同調査を通じて社内のセキュリティ機能の構築を支援します。