読み方：きょういハンティング

脅威ハンティング【threat hunting】

脅威ハンティングとは？

企業などの組織内の情報システムやネットワークに潜む未知の脅威を、セキュリティ担当者が能動的に探索・発見する活動。セキュリティツールなどのアラートや自動検知に頼るのではなく、分析者が主体となって侵入の痕跡を追う点で、従来の受動的な防御と性格が異なる。

従来のセキュリティ対策は、ファイアウォールや侵入検知システム（IDS）、アンチウイルスソフトなどが不審な挙動を検知した時点でアラートを発し、これを基に担当者が対処する仕組みが基本であった。しかし、高度な攻撃者は、こうした自動検知を回避する手法を用いるため、長期間に渡って組織内部に潜伏し続ける場合がある。脅威ハンティングは、そうした「すでに侵入しているかもしれない」という前提に立って調査を始める考え方である。

実際の手順としては、まず攻撃者の行動パターンや戦術に関する情報（脅威インテリジェンス）をもとに仮説を立て、ログやネットワークトラフィック、エンドポイントの挙動データを横断的に分析する。異常なプロセスの実行、通常と異なる通信先への接続、権限の不審な変更といった痕跡を手がかりに、内部に浸透した攻撃者の存在を掘り起こしていく作業である。

脅威ハンティングを担う人材には、オペレーティングシステム（OS）やネットワークなどの深い知識に加え、攻撃者の思考を模倣できる洞察力が求められる。自動化ツールがデータ収集や初期分析を補助する場面も多いが、最終的な判断や仮説の構築は人間の専門知識に依存する部分が大きい。組織によっては専任チームを設置し、継続的に活動を行う体制を整えている。