▼ 目次
１．従来型の検知手法の限界
２．脅威ハンティングとは
３．脅威ハンティングと防御策
４．Akamai Huntの特徴

１．従来型の検知手法の限界

　近年、標的型攻撃やランサムウェアオペレーションに関わらず、攻撃者は痕跡が残りづらいファイルレス型マルウェアなどの検知回避を目的としたマルウェアや、環境寄生型(Living off the Land)攻撃などのOSやアプリケーションに組み込まれた正規のソフトウェアを悪用してセキュリティ対策による防御や検知を逃れる形で組織ネットワークへの侵入や攻撃オペレーションを実施することが知られています。

　セキュリティ侵害の被害拡大を防ぐには、これらの攻撃オペレーションをできるだけ初期段階で侵害を発見し対処をしていく必要がありますが、前述のような攻撃者の活動は一般的にウイルス対策ソフトウェア、不正侵入防御システム（IPS）などの従来型の自動的な検知による対策のみでは排除することが難しく、ランサムウェアの実行など実際の被害が発生してはじめて侵害を知るといった事象も多く見受けられます。

図 1. 従来型検知手法の検知範囲例

２．脅威ハンティングとは

　前述のように、攻撃者による初期侵入を完全に防ぐことは出来ないという現状において、脅威ハンティングは「組織内にすでに攻撃者が侵入している」ということを前提に、積極的に攻撃者に関連した痕跡を調査する脅威検知手法となります。具体的には侵害範囲を拡大するための内部偵察行為やラテラルムーブメントの検出、悪性ツールを含むマルウェア実行の痕跡などの調査を実施します。

図 2. 内部偵察ツール実行の例

　一般的な脅威ハンティングのプロセスは、ネットワーク装置やセキュリティ製品、OSなど様々なデータソースから情報収集を行います。次に収集した情報に対して独自の検知アルゴリズムを使用し一次解析を実施し、不審な可能性のある情報のみを抽出します。最終的に抽出された情報に対して脅威解析のエキスパートが追加解析を行い、お客様が対応すべき必要な情報のみを通知します。

　アラートに関する推奨対策や緩和策も合わせてお客様に通知し、脅威の早期封じ込めサポートも合わせて実施するサービスの形をとる場合もあります。

図 3. Akamai Huntでの脅威ハンティングプロセス

　セキュリティ装置からのアラートを通知するという意味ではマネージドSOC（Security Operation Center）サービスも同様ですが、基本的なSOCサービスではネットワーク装置やセキュリティ装置でログ収集し、検知ルールに基づいて受動的な形でアラートを生成します。一方、脅威ハンティングではアナリストが介在し、より積極的な形でお客様環境の調査を実施するため、一般的により高度なサービスとして位置付けられます。ベンダーによってはSOCのオプションとして脅威ハンティングが提供されることもあります。

３．脅威ハンティングと防御策

　脅威ハンティング単体でも侵害をより早期発見することに貢献できますが、防御（Protection）を目的とした対策と組み合わせることで、攻撃者の攻撃スピードを低減させた中で侵害検知を行うことができるようになるため、より効果的に組織のサイバーレジリエンスを向上させることができます。

　防御の例としてはアイデンティティの管理、ActiveDirectoryのハードニング、ネットワークセグメンテーション、パッチマネージメント、アプリケーション許可リスティングなど様々ありますが、組織のIT基盤の構成や予算に応じて効果的な対策を実施することが重要になります。

　Akamaiではネットワークの可視化やマイクロセグメンテーションが行えるAkamai Guardicore Segmentation（以降AGS）を提供しております。詳細は https://www.business-on-it.com/datasheet/2025-request-ags/ をご覧ください。

４．Akamai Huntの特徴

　Akamaiでは、マイクロセグメンテーション製品であるAGS提供のオプションとして、脅威ハンティングサービス「Akamai Hunt」を提供しています。AGSでは従来の内部ファイアウォールと比較してよりきめ細やかなホスト/プロセス単位での制御マイクロセグメンテーションを実施することにより、攻撃者のラテラルムーブメントへの防御力を向上させることができます。加えてAkamai Huntを追加利用することで防御、検知の両面でAGSの価値を最大化することができます。

シームレスな導入

　AGSのコンポーネントとして各PCへインストールされるAgentによって得られるテレメトリーを利用し脅威ハンティングを実施します。AGSをご利用のお客様は追加の設定や作業など無くすぐにAkamai Huntをご利用いただくことが可能です。

必要なアラートのみ通知

　経験豊富なセキュリティアナリストが事象を解析し、アラート通知前にお客様に確認いただくことが必要な事象のみ選別します。不要なアラートのハンドリングなどでお客様のリソースが消費されることを防止します。

　アラートには侵害やリスクの影響範囲や詳細、お客様に実施いただく推奨対策が含まれています。

脅威とリスクを検知

　Agentから得られる情報を元に、お客様環境に潜んでいる脅威をAkamai独自、およびサードパーティの情報を元に検知します。例として通常の通信状況と異なるネットワークアノマリーの検知や不審なコマンドラインの検知などがあります。

図 4. 不審なコマンドラインの例

　さらに脅威だけでなく、お客様環境内での脅威につながるリスクも調査し通知します。インターネットから直接管理用の通信を受信しているPCの検出やActiveDirectoryでの不適切な設定をリスクとして検出しお客様へ通知します。

図 5. インターネットからの管理アクセス例

まとめ

　高度化するサイバー脅威に対しては、インシデントが起こってからの受動的な対応だけでは不十分です。今後は、能動的なセキュリティ運用である脅威ハンティングの重要性がますます高まることが想定されます。

　Akamaiでは、既に世界中で多くの実績を持つマイクロセグメンテーション製品であるAGSと、その上で稼働する脅威ハンティングを提供するAkamai HUNTをご提供しております。貴社のセキュリティリスク削減のため、ぜひご利用をご検討ください。

　ここまで読んでいただき、より詳細な情報を入手したいお客様はぜひ弊社にお問合せください。