Cisco Japan Blog

アラートの届かない領域を明らかにする:Cisco Talos 脅威ハンティングを発表

1 min read



 

この記事は、Cisco Talos Threat Intelligence , Senior Director である Anthony “TonyG” K Giandomenicoと、Cisco Talos Threat Intelligence, VP of Product Management, Threat Intelligenceである Karin Shopen によるブログ「 Finding what lives between the alerts: Announcing Cisco Talos Threat Hunting 」( 2026年 6月 1日 )の抄訳です。

 

かつて攻撃者の潜伏期間は、防御側が状況を把握して対応するための貴重な時間でしたが、その期間は短くなりつつあります。Anthropic の Mythos や OpenAI の GPT-5.5-Cyber のような最先端の AI モデルは、防御側と攻撃側の双方が発見し、関連付け、行動に移せる対象を変えつつあります。攻撃者は AI を利用して、偵察活動を自動化し、ラテラルムーブメントを加速させ、さらにほぼリアルタイムで行動を変化させることで、侵入プロセス全体のスピードを高めています。

しかし、ほとんどのセキュリティ侵害は目立つ形で始まるものではありません。それらは見過ごされやすいシグナルから始まります。たとえば、通常とは異なる時間帯のログイン、11 秒だけ実行され正常終了するプロセス、あるいは過去の何千もの正当な接続とほとんど見分けがつかないファイアウォール接続です。攻撃者の狙いは、検出ツールそのものを避けることではありません。攻撃者はすでにその仕組みを十分に理解し、どのしきい値で検出されるのかを把握しています。そして、意図的にそのしきい値を超えないよう行動します。

これは、従来のセキュリティ運用体制では解決が想定されていなかった問題です。アラートベースの防御モデルは、攻撃者がアラートを発生させるだけのノイズを出すと想定しています。しかし、今日の高度な攻撃者はすでにその段階を超えています。攻撃者はアラートが発生しない領域で活動し、信頼されたプロセスやツール、アイデンティティを隠れみのにしていることが少なくありません。その理由は、攻撃者が大半のセキュリティチームの運用体制では追随できないほど慎重かつ粘り強く活動するためです。

まさにそのギャップこそが、Cisco Talos が脅威ハンティングプログラムを拡充する理由です。

 

検出の仕組みでは埋められないギャップ

脅威ハンティングは新しいものではありませんが、多くの組織にとっては今なお目標段階にある取り組みです。社内で脅威ハンティング体制を整備するには、熟練したアナリスト、成熟したツール群、さらに自社特有の環境における「通常の振る舞い」を把握できるだけの組織的な知見が欠かせません。それには相応の投資が求められるうえ、多くのセキュリティチームはアラート対応業務に追われ、十分な余力を持てていません。

 

鍵を握るのは、相関分析と他に類を見ないほど細かなセキュリティ観点での分析

隠密性の高い攻撃者の手口は、問題の一側面にすぎません。検出には本質的な限界があり、それを正しく認識する必要があります。自動検出は、アナリストの対応を求めるに値すると判断できるレベルまで確信度が高まったときに作動します。それは妥当なアプローチですが、その一方で、そのしきい値に届かないシグナル群が存在することを意味します。新たな攻撃手法は、脅威インテリジェンスがそれを把握し、本番環境のルールに反映する前から実際の攻撃で使われています。設定変更は避けられません。障害対応中にルールが緩和されたり、センサーが停止したり、ポリシー改定によって監視のギャップが生まれたりします。これらは運用上のミスではありません。いずれも大規模な環境を運用するうえで避けられない現実です。しかし、そのような状況は、執念深い攻撃者がひそかに活動できる隙となり得ます。

内部に潜伏し、意図的に痕跡を抑えている攻撃者に対しては、対応速度だけで対抗することは不可能です。ある時点で、こちらから能動的に探しに行く必要があります。

 

ハンティングは明確なシグナルが存在する前に開始され、相関関係の分析によって脅威を見つけ出す

シスコの主要なグローバル脅威インテリジェンス組織である Cisco Talos は、193 か国に配置された 4,600 万台のセンサーからの可視性を基盤に、グローバルな攻撃対象領域全体を日々把握しています。Cisco Talos 脅威ハンティングプログラムは、この膨大な知見をシスコ製品やセキュリティ運用に関する高度な専門知識と融合し、お客様の安全な環境維持を支援します。当初はエンドポイント技術を中心としていたこのプログラムは、Cisco Firewall によるネットワークトラフィックと、Cisco Duo および Cisco Identity Intelligence によるアイデンティティ活動という 2 つの領域へハンティング対象を拡大します。

このプログラムは、3 種類のシスコ製品を横断した脅威ハンティング機能を提供する点が特長です。こうした構成には明確な理由があります。Talos は、各製品のテレメトリ生成の仕組みを深く理解しています。どのフィールドが使用されるのか、どのようなエッジケースが存在するのか、さらに特定の振る舞いがデータ上でどのように表れるのかを把握しています。そのレベルの詳細さでテレメトリを理解している人材がハンティングロジックを構築すると、得られるシグナルの品質は本質的に異なります。

ほとんどの組織では、すでにこれらの領域にまたがるデータを集約しています。 SIEM や XDR はログを集約し、最新の XDR プラットフォームでは、最先端の AI モデルを活用してイベントの自動トリアージや相関分析を行うケースが増えています。そうした機能は実用的な価値を持っており、今もなお改善が進んでいます。しかし、どれほど高度な自動トリアージであっても、本質的にはすでに生成されたシグナルに対応し、表面化した事象を優先順位付けしながら関連付けているに過ぎません。ハンティングの出発点は、まだシグナルが現れていない段階にあります。出発点となるのは仮説です。特定の攻撃者の行動パターンに関する知識に基づき、その活動がテレメトリデータ上でどのように現れるのか、そして本当に存在しているのかを検証します。これは既存の手法と競合するものではなく、異なるアプローチです。Duo における不審な認証、ファイアウォールのテレメトリで確認される異常なラテラルムーブメント、そしてサーバー上の異常なプロセスは、それぞれ単独では自動対応のしきい値を下回る可能性があります。これらを、専用に設計されたロジックとシスコ製品のデータ生成特性に関する深い理解に基づいて統合的に分析すると、進行中の侵害を示す一貫したストーリーが浮かび上がります。

 

アラートキューに依存しない運用

Talos のアナリストは、実践的な脅威インテリジェンスを基盤として、ハンティング仮説やデータ分析の観点を策定します。そこには、現在活動中の脅威グループの手法、インシデント対応業務で得られた知見、そして世界規模のテレメトリから見えている状況が反映されています。こうした知見は、AI が支援するインテリジェンスを基に、人間の専門家が長年にわたって特定の攻撃者を追跡してきた成果です。

Talos のアナリストは、それらの仮説を具体的なハンティングへと落とし込みます。その後、AI 駆動型エンジンがそれらを 24 時間体制で継続的に実行し、人手によるアナリストチームでは再現できない規模で処理を行います。その役割は、自動検出のしきい値を下回るシグナルや、新たな指標が本番ルールに反映されるまでのギャップに存在するシグナルを含め、弱いシグナルを浮かび上がらせることです。

そして最後に、Talos のアナリストがその内容を確認します。アナリストは調査を行い、文脈を加味し、複数の情報源を相関分析したうえで判断を下します。Talos がその事象を正当な脅威と認識した場合、お客様へ通知が行われます。提供されるのは単なるアラートではありません。何が観測されたのか、なぜ重要なのか、既知の攻撃者の手法とどのように関連するのか、そしてどのように対処すべきかを記したレポートです。CISO は朝 7 時にそのレポートを読んだ際、何が起きたのかを逆算して理解する必要があってはなりません。読んだうえで直ちに意思決定へ移れることが重要です。

これらすべての結果は Cisco Security Cloud Control 内の専用脅威ハンティングポータルから確認できます。このポータルでは、検証済みの調査結果の追跡、ハンティング活動の指標の確認、さらに Talos ブログへのリンクやプラットフォーム外では入手できない非公開の脅威情報速報を含むコンテキスト付きインテリジェンスへのアクセスを一元的に行えます。お客様には Talos から限定公開の四半期脅威レポートも提供されます。これは、グローバルな脅威環境においてチームが確認した内容を共有する非公開の情報提供です。これは一般公開されたレポートでも、販促目的のサマリーでもありません。多くの組織では得られない、直接的な脅威インテリジェンスへのアクセスです。

 

シスコと連携することでお客様のチームが得られるもの

小規模なセキュリティチームは、通常であれば大きな内部投資が必要となる脅威ハンティング機能を利用できます。成熟した SOC 環境では、アナリストの監視範囲外となっている領域を補強しながら、既存チームと連携して運用できます。検出しきい値を下回るシグナル、通常業務の中で発生するギャップ、あるいはまだ検出ルールが存在しない新手法に対しても、アラートキューを超えた領域で脅威を追跡します。Cisco Talos 脅威ハンティングチームとの直接的な報告や対話を通じて、継続的なパートナーシップが育まれ、お客様の環境に対する理解や高度な脅威への対応能力が向上します。

脅威ハンティングプログラムの強化は、一時的な流行に対応するためではありません。攻撃者の発見が困難になり、攻撃が多面的になり、さらに先進的な AI によって攻撃者がより迅速に行動できるようになっているという現実に対応するためです。大半の組織の運用体制は、こうした状況へ同時に対処することを前提としていません。このギャップに課題意識をお持ちであれば、シスコの担当チームとの対話や、Cisco Talos が提供できる可能性の検討をお勧めします。

 

ぜひ皆様のご意見をお聞かせください。ご質問はもちろん、ソーシャルメディアを通じて Cisco Security の最新情報もご確認ください。

Cisco Security ソーシャルメディア

LinkedIn
Facebook
Instagram

Authors

寺下 健一

CxOアドバイザー

CTOオフィス - APJC

コメントを書く