侵害の指標

サイバーセキュリティにおける IOC とは

サイバーセキュリティにおける侵害の指標（IOC）は、ネットワークまたはシステムが侵害または攻撃されたことを示す兆候や証拠を指します。たとえば、異常なネットワークトラフィックの動作、予定していないソフトウェアのインストール、通常とは異なる場所からのユーザーサインイン、同じファイルの大量のリクエストなどが IOC の例です。

侵害の指標と攻撃の指標の違い

InfoSec チームは、侵害の指標と攻撃の指標（IOA）の両方を使用してセキュリティイベントを分析します。IOA はリアルタイムで発生している攻撃を知らせますが、IOC は攻撃の後に評価され、インシデントをより正確に理解するために役立ちます。

IOC とみなされるデータの種類

IOC には、以下のようなさまざまなタイプのデータが含まれます。

• IP アドレス
• ドメイン名
• URL
• E メールアドレス
• ネットワーク トラフィック パターン
• ファイル名、経路、ハッシュファイル

IOC を効果的に管理するための課題

IOC の監視と分析には多くの課題があります。毎日検出される IOC の分量だけでもセキュリティチームは圧倒されてしまいますが、脅威が急速に変化する現在の状況において IOC を最新の状態にしておくこともまた、多大な労力を要します。しかし、最も効果的な IOC 管理でさえ、脅威のリスクを軽減して攻撃を防ぐには十分ではありません。

IOC の管理は、既知の脅威の履歴データに基づいた事後対応型のアプローチです。新しい、高度な脅威は指標ベースの脅威検出をすり抜けてしまう可能性があります。そのため、IOC は、エンドポイントセキュリティ、脅威管理プラットフォーム、アイデンティティアクセス制御など、脅威を素早く検出するためのプロアクティブな手法と組み合わせると、より効果を発揮します。

IOC がサイバー脅威の検出に役立つ理由

サイバーセキュリティにおける IOC は、攻撃が発生した可能性があるという証拠です。セキュリティチームやセキュリティテクノロジーは、ネットワークトラフィック、ユーザーおよびデバイスの動作、ファイル属性などのデータを監視し、不規則な動作や不審なパターンを探します。既知の侵害の指標に一致するログデータによって、潜在的な脅威を調査して緩和するようにチームに警告が出されます。

IOC は既知の脅威を特定するためには役立ちますが、その性質は事後対応型であり、未知の攻撃または高度な攻撃は特定できない可能性があります。現在の高度な脅威をプロアクティブに特定するために、多くの組織が脅威インテリジェンス プラットフォームを使用して環境内の IOC を追跡し、最新の脅威と緩和策についてのリアルタイムの情報を取得しています。

IOC の監視がインシデント対応に役立つ理由

セキュリティチームは脅威インテリジェンスのフィード、セキュリティログ、ネットワークトラフィックを監視して、調査と修復が必要な IOC を特定します。定期的な IOC セキュリティの監視によって次のことが可能になります。

早期検出：IOC アラートを早期に検出することでチームに侵害または攻撃のアラートが出され、チームは迅速に脅威を排除して業務を再開できます。

優先順位付け：IOC を監視することで、重大性に基づいてインシデントの修復に優先順位を付けることができ、最も重大な脅威に速やかに対処できます。

対応の改善：IOC を追跡して文書化することで、対応チームは各イベントから学習し、より効果的なインシデント対応計画（IRP）を作成できます。

セキュリティリスクの軽減：攻撃からの修復後、イベントとその指標に対してフォレンジック分析を行うことで、システムとプロセスの脆弱性を発見できます。この分析は、今後、類似の攻撃があった場合に備えて、チームがより効果的な防御を確立するために役立ちます。

サイバーセキュリティ調査における IOC の分類

ネットワークベースの IOC

ネットワーク IOC は、ドメイン、IP アドレス、URL など、悪意があることが分かっているネットワーク上の不審なアクティビティを知らせます。特定の Web サイトへの Web トラフィックの増加などの異常なトラフィック動作も、ネットワークの侵害を示唆します。セキュリティ情報イベント管理（SIEM）ソリューションや侵入検出システム（IDS）のようなネットワーク監視ツールは、これらのタイプの IOC を特定します。

ファイルベースの IOC

ファイルベースの侵害の指標は、悪意のあるダウンロードまたはマルウェアがシステムファイルに影響を与えていることを示唆します。ファイルに、既知の悪意のあるファイルハッシュやパス、ファイル名があるかどうかをスキャンするのに一般的に使用されるツールは、サンドボックス分析ツールまたは Endpoint Detection and Response（EDR）ソフトウェアです。

動作ベースの IOC

動作ベースの IOCは、通常のアクティビティとパターンの偏差から取得するものです。特権昇格、同じファイルへの大量のリクエスト、複数回のログインの失敗などは、システム攻撃が発生した可能性があることを示唆する動作の例です。ユーザーとエンティティの行動分析（UEBA）ソリューションは、ユーザーとデバイスの通信パターンにおける、確立されたベースラインとは異なる不審な動作を監視します。

ホストベースの IOC

ホストベースの IOC は、個々のコンピュータ、システム、その他のエンドポイントの悪意がある可能性のあるアクティビティを検出します。たとえば予期せぬシステム設定の変更、システム権限の変更、デバイスで実行される不審なプロセスなどです。エンドポイントの脅威を監視してホストベースの IOC を管理するには、EDR または Extended Detection and Response（XDR）ツールを実装できます。

一般的な IOC の例

異常なサインインアクティビティ

通常とは異なる様相を呈するユーザーまたはデバイスのアカウントへのログインは、侵害が試みられたか、または成功したことを示唆している場合があります。複数回のログインの試行、通常とは異なる場所からのログイン、そのユーザーにとっては珍しいファイルへのアクセスは、攻撃者がアカウントをハッキングしたことを示している可能性があります。

ネットワークトラフィックの異常

ネットワークトラフィックのパターンが通常から逸脱している場合、特定の異常はサイバー攻撃が発生したことを示唆している可能性があります。たとえば、データ転送の唐突なスパイクや既知の悪意のある IP アドレスとのコミュニケーションは、攻撃者がデータを盗み出そうと試みたことを示唆している場合があります。

特権アカウントの異常

特権アカウントの予期せぬ使用は、部内者による脅威またはアカウントの侵害を示唆している可能性があります。管理者がユーザーアクセス設定を変更したり、通常とは異なるリソースにアクセスしたりしている場合は、不正なアクセス権を取得しようとしている可能性があります。

大量のファイルリクエスト

特に単一のユーザーまたは IP アドレスからの、機密ファイルへのリクエストの突然の増加は、攻撃者が制限された情報にアクセスしようとしていることを示唆している場合があります。

DNS リクエストの異常

既知の悪意のあるドメインのリクエストなど、ドメイン名システム（DNS）クエリの異常は、攻撃者が組織のサーバーとコマンド＆コントロール通信を確立しようとしたことを示唆している可能性があります。

設定の変更

システム設定、ファイアウォールのルール、アクセス セキュリティ ポリシーへの予期せぬ変更や不正な変更は、攻撃者の存在や防御を弱める試みを示唆している場合があります。

不審なプロセスの実行

システムのタスクマネージャで、特に通常の属性または名前で未知のプロセスが実行されている場合は、マルウェアへの感染を示唆している場合があります。

IOC ソリューションおよびツール

IOC を監視することは、攻撃を特定して迅速に解決するために非常に重要です。また、これらの侵害の指標を把握することで有益なインサイトを取得することができ、チームが脆弱性をより適切に緩和し、防御メカニズムを向上させ、セキュリティインシデントを素早く解決するために役立ちます。

IOC はサイバーセキュリティの重要なツールですが、独立したソリューションではありません。IOC の監視は、次のような、進化した脅威から組織を守るための高度なセキュリティソリューションと組み合わせた場合に最も効果を発揮します。

次世代侵入防御システム（NGIPS）

NGIPS は IOC を利用して脅威を検出します。高度な NGIPS システムは、継続的にユーザーとデバイスの動作ベースの IOC を監視し、リアルタイムのコンテキスト脅威分析を提供し、パブリックおよびプライベートクラウドにセキュリティを適用し、堅牢な脅威保護のためにネットワーク セグメンテーションをサポートします。

エンドポイント セキュリティ プラットフォーム

エンドポイント セキュリティ ソリューションは、ネットワークに接続されたデバイスまたはエンドポイントを保護するために設計されています。 Extended Detection and Response（XDR）ソリューションはエンドポイント、E メール、サーバー、クラウド、ネットワークアクティビティを監視し、動作ベースの侵害の指標を特定します。このレベルの可視性と AI および機械学習を組み合わせることで、リスクの重大度によって優先順位付けされた、自動およびガイド付きの脅威修復が可能になります。

セキュリティ情報イベント管理（SIEM）

SIEM ソリューションは、IT 環境全体のシステムからログおよびイベントデータ、脅威インテリジェンス、セキュリティアラートを集約します。アクティビティが既知の IOC と関連付けられると、SIEM ソリューションは事前に定義されたポリシーに基づいて優先順位付けされたアラートを生成し、潜在的なセキュリティインシデントに対する自動化された対応を可能にします。

アイデンティティおよびアクセス管理（IAM）

IAM ソリューションは、デジタルアイデンティティとアクセス権限レベルに基づいてユーザーのリソースへのアクセスを管理します。機密リソースへの不正なアクセスを防ぐために、これらのソリューションは複数の要素を使用してユーザーアイデンティティを認証し、継続的にユーザーおよびデバイスの動作を監視して IOC を特定します。

ネットワーク セグメンテーション

ネットワーク セグメンテーションによってネットワークを小さな断片に分割することで、粒度の高いアクセス制御が可能になります。IOC によって侵害が検出された場合、セグメンテーションによって攻撃がネットワーク内を横方向に拡散することを防ぐことができ、被害を最小にできます。

脅威インテリジェンス プラットフォーム

脅威インテリジェンス プラットフォームは、IOC を含むさまざまなソースから大量のグローバルデータを集約して分析し、最新のサイバーセキュリティの脅威に関する実用的なインサイトを提供するサイバーセキュリティツールです。サイバー脅威インテリジェンスをセキュリティアーキテクチャに統合することで脅威の検出および対応ソリューションを強化することができ、組織はリアルタイムのインテリジェンスに基づいて、進化したサイバー脅威をプロアクティブに防ぐことができます。