サイバー攻撃の手口が巧妙化し、既存のセキュリティ対策だけでは脅威を完全に防ぎきれない時代が到来しています。「セキュリティツールが検知しきれない見えない脅威が、すでに社内ネットワークに潜んでいるかもしれない」という前提のもと、先手を打って攻撃の兆候を探り当てるセキュリティ手法が「脅威ハンティング(Threat Hunting)」です。
この記事では、脅威ハンティングとは何か、脅威ハンティングが注目される背景、アプローチの種類、そして実践手順までをわかりやすく解説していきます。
脅威ハンティングとは何か?
脅威ハンティング(Threat Hunting)とは、組織のネットワークやデバイスに潜む未知の脅威や攻撃者を自ら探し出すセキュリティアプローチです。ひとことで言うと「すでに侵入されているかもしれないという前提で、人が能動的に潜伏中の攻撃者をあぶり出す調査活動」と言えます。
ファイアウォールのような従来の受動的な対策と異なり「既に侵害されている可能性」を前提に、「既に侵入されている可能性がある」という前提に立ち、セキュリティアナリストが主体となって潜在的な脅威を調査・発見する活動のため、自動化されたツールだけでは見逃されがちな、痕跡をほとんど残さずに動く巧妙な攻撃(例:ログを書き残さないファイルレスマルウェア等) を、人間の洞察力と分析スキルで洗い出す点が本質となります。
脅威ハンティングの5つの特徴
1.前提条件: 侵害されている前提で調査を開始する2.主体: セキュリティアナリスト(人間)の能動的な探索が中心
3.アプローチ: 事後対応ではなく プロアクティブ(能動的)な調査
4.対象: 既存防御をすり抜けた高度・潜伏型の脅威
5.目的: 被害が顕在化する前に兆候を検知し、被害を最小化する
このように脅威ハンティングは、「ツールに任せる」のではなく「人が主導してツールを使いこなす」姿勢が鍵となります。
次章では、なぜ今このアプローチが注目されているのか、その背景を整理します。
脅威ハンティングが注目される背景
脅威ハンティングが近年注目を集めている背景には、サイバー攻撃がより標的型・長期潜伏型・自動化へと進化し、既存の受動的対策だけでは対応しきれない状況が増加している点があります。近年の攻撃者は、単発のマルウェア拡散ではなく狙いを定めて、気づかれないまま社内で活動を続ける スタイルへシフトしているため、従来型のファイアウォールやウィルススキャン方式をすり抜け、被害が表面化して初めて発覚するケースが後を絶ちません。
近年の攻撃動向を端的に示す代表例として、次の5項目が挙げられます。
変化を象徴する 5 つのトレンド
1.標的型攻撃の増加:無差別ではなく、業種や企業を絞った攻撃が主流に
2.ステルス性の向上: 検知を回避するログ痕跡を残さない手口が拡大
3.持続的な脅威 (APT):数週間~数カ月の長期間潜伏を前提に活動
4.攻撃の自動化:AI・スクリプトで短時間に大量試行
5.サプライチェーン攻撃:取引先・クラウドサービスを踏み台にした間接侵入が増加
これらの変化により、従来のセキュリティ対策では対応が難しくなっています。
実際に、セキュリティインシデントが発生してから検知されるまでの平均時間(Dwell Time)は10〜13 日程度と短縮化されていますが、その間に攻撃者は組織内で活動を続け、情報を窃取したりシステムに損害を与えたりする危険性が一気に高まります。
これらの潮流により「アラート待ち」「ログ閲覧のみ」といった受動防御では十分と言えなくなり、能動的に「自ら探しに行く脅威ハンティング」に注目が集まっています。
次節では、その仕組みと一般プロセスを概観します。
脅威ハンティングの仕組み
脅威ハンティングは、セキュリティチームが組織のシステムやネットワーク内に存在する潜在的な脅威を能動的に探索するプロセスです。このアプローチでは、自動化されたセキュリティツールでは検知できない高度な脅威や、長期間潜伏している攻撃者の活動を発見することを目指しています。仮説を立て(Plan)、データを集めて分析し(Do)、兆候を検証して(Check)、封じ込めと教訓化(Act)を行い、次の仮説へつなげます。
代表的な5ステップ(全体フロー)
実際は、人間が主導しながらクエリ実行やグラフ描画など分析にツールを活用するハイブリッド運用が現実的です。| ステップ | やること | 具体例 |
|---|---|---|
| ① 仮説立案 | まずは「どんな攻撃が潜んでいるか?」を想定する。 例: 標的業界で流行中のファイルレス攻撃が社内にいるかもしれない | 外部CTIや過去のインシデントからヒントを抽出 |
| ② データ収集 | 仮説に合わせ、必要なログやエンドポイントのテレメトリを収集・整形 | ・EDR/SIEMでプロセス実行ログを集約 ・クラウド監査ログを API で取得 |
| ③ 解析・探索 | 可視化・フィルタリング・相関分析などで不審なパターンを洗い出す | ・時系列でプロセス生成をグラフ化 ・「PowerShell + 暗号化関数」の同時出現をクエリ検索 |
| ④ 検証・封じ込め | 発見した兆候を深掘りし、侵害を確認したら即座に隔離・遮断 | ・該当端末をネットワーク隔離 ・攻撃者が利用した認証情報を失効 |
| ⑤ 学習フィードバック | 得られた知見をルール化し、既存検知システムや手順書を強化 | ・SIEMへ新しい検知ロジックを追加 ・対応手順書を社内ポータルで共有 |
攻撃者の視点「最近この業界で流行している攻撃手口は何だろう?」
環境の弱点「社内の共有フォルダに怪しいアクセスはないかな?」
ユーザ挙動の逸脱「深夜に海外からVPNで入っている人はいない?」
このように、仮説が具体的であるほど、絞り込んだデータ収集と効率的な解析が可能になります。
次章では、脅威ハンティングの種類(スタイル別) を整理しながら、どのようなシナリオで使い分けるのかを見ていきます。
脅威ハンティングの種類
脅威ハンティングは、アプローチの違いによっていくつかの種類に分類されます。それぞれのアプローチには独自の特徴と適用シナリオがあり、組織の状況や目的に応じて適切な方法を選択することが重要です。構造化ハンティング
構造化ハンティングは、体系的なアプローチと明確な手順に基づいて実施される脅威ハンティングの方法です。ひとことで言うと「ハンティングの進め方」のスタイルです。
イメージ:チェックリスト方式
やること:MITRE ATT&CKなどの既存フレームワークに沿って、決めた順序でTTP(攻撃手口)を一つずつ検証する。
メリット:抜け漏れが少なく、初心者でも手順通り進めやすい。
注意点:攻撃手口の一覧を用意する事前準備が必要。未知の手口には弱い。
こんな場合におすすめ: 「まずは網羅的に”リスクを洗い出したい」「チームで作業を平準化したい」場合に最適です。
MITRE ATT&CKについては、下記記事をお読みください。
▼MITRE ATT&CK(マイター アタック)とは?構成要素についても詳しく解説!
非構造化ハンティング
非構造化ハンティングでは、データの異常な傾向や不自然なパターンを探すことが多く、例えば通常のビジネス時間外に突然発生した管理者アクセスや、一般的なネットワークトラフィックとは異なる通信パターンなどに注目します。イメージ:熟練したセキュリティアナリストによる「勘と経験」を活かす自由探索
やること:事前のチェックリストに縛られず、アナリストがログを眺めながら気になる動きを深掘りしていく。
メリット:未知・ゼロデイなど型にない攻撃を見つけやすい。
注意点:スキルや経験に結果が大きく左右され、ドキュメント化しないと属人化しやすい。
こんな場合におすすめ: 「最近不自然なアラートが増えた」「何となく嫌な予感がする」といった直感を確かめたい時に最適です。
状況ハンティング
状況ハンティング(コンテキストベースドハンティング)は、特定の環境やコンテキストに基づいた脅威ハンティングアプローチです。組織の特性、業界、システム構成などの具体的な状況を考慮して、その環境に特有の脅威を探索します。イメージ:特定の環境やコンテキストによるピンポイント調査
例)緊急パッチ公開、組織変更、業界・取引先で事故、決算期など
やること:脆弱性公表・大型イベントなど今だけの要因に着目し仮説を立て、範囲を絞って検証する。
メリット:調査対象が限定されるため、短時間で深掘りできる。
注意点:視野が狭くなりがち。対象外の領域に潜む脅威は拾えない。
こんな場合におすすめ: 「緊急パッチ前後だけを重点的に」「取引先で事故が起きたので同種の痕跡を探したい」場面で有効。
実際の現場では 3つを組み合わせて回すことが多く、状況に応じてスタイルを切り替えるのが現実的です。
どのハンティングスタイルを選ぶかは、以下をご参照ください。
初めてなら→構造化ハンティングで手順を固める
スキルがあるなら→非構造化で未知の兆候を狙う
特定イベント対応なら→状況ハンティングで集中調査
次章では、仮説の立て方を示す「脅威ハンティングのモデル」 を見ていきましょう。
脅威ハンティングのモデル(仮説の立て方)
脅威ハンティングを効果的に実施するためには、体系的なアプローチが必要です。「何を手がかりに仮説を立てるか」といった脅威ハンティングのモデルは、下記の3つの主要な脅威ハンティングモデルを参考にしてみてください。
どこから情報を拾うかで、調査の深さと方向性が変わります。
インテリジェンスハンティング
手がかり:外部の脅威インテリジェンス(CTI)や公式アドバイザリやること:公開された IoC(侵害指標)や攻撃手口の一覧を自社ログに当て込んで痕跡を検索
メリット:最新キャンペーンやトレンドを素早くカバーできる
注意点:IoC の寿命が短い(IPがすぐ変わる等)/情報ソースの信頼性を見極める必要
仮説ハンティング
手がかり:自社環境の特徴や過去インシデントから得た“勘どころ”やること:「自社営業部門では管理共有フォルダを多用する」=そこを狙った攻撃がいるかのように、自社特有の弱点を起点にシナリオを作る
メリット:自社に最適化された調査で再現性が高い/属人化しにくい
注意点:仮説立案にインシデント分析や業務理解が必要
ハイブリッドハンティング
手がかり:CTI×自社知見の二段仕掛けやること:まず外部CTIでざっくり絞り込み → 自社の業務やシステム事情で追加フィルタ → ピンポイント調査
メリット:広く浅い網掛けと、深く狭い自社特化をバランス良く両立
注意点:プロセスが二段階になるぶん、両ソースの管理とドキュメント化が欠かせない
モデル選択のヒント
「最新の外部脅威を即チェックしたい」→インテリジェンスハンティング
「自社固有の弱点を重点調査したい」→仮説ハンティング
「広く拾って深く掘ってみたい」→ハイブリッドハンティング
実務では インテリジェンス → 仮説 → ハイブリッド の順でレベルアップしていくケースが多く、状況に応じてモデルを組み合わせることでハンティングの精度と効率を高められます。
次章では、ここまで紹介した「種類」と「モデル」をどう組み合わせて運用するか、その代表的な手順と運用上のポイントをまとめます。
脅威ハンティングの実践手順(PDCAで回す)
脅威ハンティングは体系的なプロセスであり、効果的な実施のためには「仮説を立てる→調べる→確かめる→学びを次に活かす」といった明確なPDCA手順に従うことが重要です。ここでは、組織が脅威ハンティングを実践するための具体的なステップを紹介します。
| PDCA | ステップ | 具体的にやること | コツ |
|---|---|---|---|
| P Plan | ① 仮説を立てる | ・最近の攻撃トレンドや自社の弱点から「こんな侵入が潜んでいるかも」とシナリオを作る | 仮説が具体的ほど調査がラク |
| D Do | ② データを集めて調べる | ・ログや エンドポイント(PC・サーバなど)のテレメトリデータ(生ログ)を集め、検索・可視化ツールで不審な動きを洗い出す | 量が多いので先に絞り込み条件を決める |
| C Check | ③ 兆候を確かめる | ・見つけた痕跡を深掘りし「本物の侵害か/誤検知か」を判断 ・侵害なら端末隔離・アカウント無効化など一次対応 | 怪しい=侵害ではない。誤検知切り分けが重要 |
| A Act | ④ 学びを次に活かす | ・検知できた条件を検知ルール化(SIEM などへ登録) ・手順書に追記しチームで共有 | 学びを仕組みに落とすと再発防止+効率化 |
実際の調査では、仮説に合わせてログやテレメトリを検索・可視化し、相関関係を深掘りしていきます。
分析プロセスで活用されるツール例
調査において、作業を効率化するためには専用の解析ツールやスクリプトが欠かせません。分析プロセスでは、以下のツールが活用されます。
| ツールの種類 | 目的 | 代表的な製品例 |
|---|---|---|
| SIEM | ログデータの収集、相関分析、アラート生成 | Splunk、IBM QRadar、LogRhythm |
| EDR | エンドポイントの詳細な挙動分析と異常検出 | CrowdStrike Falcon、SentinelOne、Carbon Black |
| NDR | ネットワークトラフィックの分析と異常検出 | Darktrace、ExtraHop、Vectra AI |
| UEBA | ユーザーとエンティティの内部不正や標的型攻撃の検知 | Exabeam、Microsoft Defender for Identity |
| フォレンジックツール | インシデント発生後の詳細な調査、証拠収集・分析 | Volatility、Autopsy、Wireshark |
これらのツールを駆使してログを深掘りしていく際には、「誤検知を減らしつつ、本物の脅威を取りこぼさない」という課題が常について回ります。
そのため分析プロセスでは、誤検知(false positive)と見逃し(false negative)のバランスに注意することが重要です。
過度に広範な探索クエリは多くの誤検知を生み出し、分析リソースを圧迫します。一方、過度に限定的なクエリは重要な脅威を見逃す可能性があります。
3つの運用のポイント
1.小さく回す
最初から全社ログを対象にせず、部署や期間を限定して始めると成功体験が得やすい。
2.ドキュメントを残す
仮説・クエリ・結果・対応を簡単でもいいので記録しておくと、次のサイクルで再利用しやすい。
3.仮説の鮮度を保つ
公開IoCは寿命が短い。古くなった仮説は定期的に見直し、外部情報や自社インシデントでアップデートする。
このPDCAサイクルを継続することで、「見つける → ルール化 → 自動検知」 の範囲が広がり、ツール任せでは拾えなかった攻撃にも先手で対処できるようになります。
脅威ハンティングのよくある質問(FAQ)
Q1. 脅威ハンティングと通常のログ監視は何が違うの?ログ監視は上がってきたアラートを確認する受動型ですが、脅威ハンティングはアラートが無くても攻撃者を探しに行く能動型です。
Q2. どんな企業に向いている?
EDR/SIEMを入れたが「本当に攻撃を見逃していないか不安」という企業。特に標的型攻撃を懸念する製造・医療など。
Q3. 具体的に何を用意すれば始められる?
①調査用のログ/テレメトリデータ ②仮説を立てるための外部情報や過去事例 ③解析ツール(SQLクエリ、可視化ツールなど) ④担当者の時間です。
Q4. 専門家がいなくても可能?
小規模スタートなら可能ですが、経験が成果に直結します。外部MSSPや研修でスキル補強すると効果的です。
まとめ
脅威ハンティングは「侵入前提」で能動的に攻撃者を炙り出す手法です。3種類のスタイル(構造化/非構造化/状況)と 3つのモデル(インテリジェンス/仮説/ハイブリッド)を組み合わせ、PDCAループで継続することで防御力が着実に向上します。
常に最新の動向を把握し、効果的な脅威ハンティング戦略を維持するためには、業界のトレンドや新しいアプローチに注目することが重要です。
これらの最新動向を取り入れることで、組織は脅威ハンティングの効果を最大化し、進化するサイバー脅威に対するレジリエンスを高めることができます。
企業は社会的責任をもって適切なセキュリティ対策を取り、サイバー攻撃に備えなければなりません。
サイバー保険に加入しておけば、万が一の際に生じる多大な経済的損失や労力から自社と従業員を守ることができます。この機会に検討してみてください。
サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
出典:
M-Trends2024 Google Cloud Security (Mandiant), 2024年4月
グローバル中央値を10日と算出
Unit42 Incident Response Report 2024 Palo Alto Networks, 2024年2月
2023年中央値を13日
Mandiant『M-Trends 2024』によれば2023年の世界中央値は10日で、Palo Alto Networks Unit 42の同年レポートでは13日と報告されています。
