IT人材のためのキャリアライフスタイルマガジン

スレットハンティングとは？成功に導くデータ設計と実践ガイド｜テレメトリの粒度が鍵

更新日：2026年01月19日

1分でわかるこの記事の要約スレットハンティングは、高度化するサイバー攻撃に対抗するため、能動的に未知の脅威を探索する重要な活動です。成功の鍵は、データの「量」ではなく「粒度」を重視したデータ設計にあり、特に詳細なテレ […]

1分でわかるこの記事の要約

スレットハンティングは、高度化するサイバー攻撃に対抗するため、能動的に未知の脅威を探索する重要な活動です。
成功の鍵は、データの「量」ではなく「粒度」を重視したデータ設計にあり、特に詳細なテレメトリ収集が不可欠です。
MITRE ATT&CKフレームワークを活用し、攻撃者の行動（TTP）に基づいた仮説を立て、継続的に検証・改善するサイクルが極めて重要になります。
XDRは、エンドポイント、ネットワーク、クラウドなど多様なテレメトリを統合し、ハンティング活動を高度化・効率化する上で中心的な役割を果たします。
活動成果はKPIで客観的に測定し、発見した知見を防御策へフィードバックすることで、組織全体のセキュリティレベルを着実に向上させます。

昨今のサイバー攻撃はますます高度化・巧妙化しており、従来の受動的なセキュリティ対策だけでは侵入を防ぎきることが困難になっています。この状況下で、脅威が顕在化する前にプロアクティブに発見・対処する「スレットハンティング」の重要性が高まっています。しかし、やみくもに大量のログ（テレメトリ）を収集するだけでは、スレットハンティングは成功しません。本記事では、スレットハンティングを成功に導くための「データ設計」、特に分析に使えるテレメトリの「粒度」に焦点を当て、具体的な手法から成果の測定方法までを網羅的に解説します。

スレットハンティングとは？従来のセキュリティ監視との違いと重要性

スレットハンティングとは、自社ネットワーク内に既に侵入しているかもしれない未知の脅威を、能動的かつ仮説に基づいて探索するサイバーセキュリティ活動です。従来のセキュリティ監視とは一線を画す、このプロアクティブなアプローチがなぜ今、不可欠なのでしょうか。

従来のセキュリティ監視との違い

従来のセキュリティ運用（SOC）の中心は、SIEM（Security Information and Event Management）やEDR（Endpoint Detection and Response）などのツールが発するアラートに対応する、いわば受動的な「監視」でした。これは、既知の攻撃パターンやマルウェアのシグネチャ（IOC: Indicators of Compromise）に基づいて脅威を検知するもので、防御の基本として非常に重要です。

しかし、この手法には限界があります。攻撃者は検知を回避するため、常に新しい攻撃手法（TTP: Tactics, Techniques, and Procedures）を開発しています。ファイルレスマルウェア、正規ツールの悪用、盗み出された認証情報による侵入など、シグネチャに合致しない攻撃は、従来型の監視をすり抜けてしまう可能性があります。

スレットハンティングは、このギャップを埋めるための活動です。「攻撃者はすでに内部にいるかもしれない」という前提に立ち、アナリストが自らの知識や脅威インテリジェンスを基に「仮説」を立て、その仮説を検証するためにログデータを深く分析します。これは、アラートを待つのではなく、自ら脅威の痕跡を探しに行く、能動的な脅威検知のアプローチなのです。

なぜ今スレットハンティングが必要なのか

スレットハンティングの必要性が叫ばれる背景には、主に2つの要因があります。

検知困難な攻撃の増加 標的型攻撃やサプライチェーン攻撃など、検知が極めて困難なサイバー攻撃が増えています。攻撃者は数週間から数ヶ月にわたって環境内に潜伏し、情報を窃取したり、ランサムウェアを展開したりします。この「潜伏期間」をいかに短縮し、被害拡大前に対処できるかが、事業継続の鍵を握ります。
セキュリティ運用の高度化 日々大量に発生するアラート対応に追われるだけのSOCでは、疲弊し、重要な脅威を見逃すリスクが高まります。スレットハンティングを導入することで、SOCチームはより高度な分析スキルを身につけ、プロアクティブな活動を通じて組織の防御体制を本質的に強化できます。ハンティングで見つかった知見は、新たな検知ルールの作成や防御策の改善にフィードバックされ、セキュリティ運用全体の成熟度を向上させる好循環を生み出します。

スレットハンティング成功の鍵はデータ設計にあり【テレメトリ編】

スレットハンティングは、アナリストのスキルだけでなく、分析対象となるデータの質に大きく依存します。ここでは、ハンティングの成否を分けるデータ設計、特にテレメトリの重要性について掘り下げます。

「量」より「質（粒度）」が重要な理由

「ビッグデータを活用する」という言葉に惑わされ、あらゆるログ（テレメトリ）をデータレイクに集約すればスレットハンティングができると考えるのは早計です。重要なのはデータの「量」ではなく、分析に耐えうる「質」、すなわち「粒度」です。

テレメトリの粒度が粗いと、攻撃者の微細な行動（TTP）の痕跡を捉えられません。例えば、単に「プロセスが起動した」というログだけでは、それが正規の動作かマルウェアによるものかを判断するのは困難です。

しかし、そこに以下の様な詳細なコンテキスト情報が付加されていれば、話は大きく変わります。

粒度の高いテレメトリが含む情報例

どの親プロセスから起動されたか
どのようなコマンドライン引数が使われたか
どのユーザー権限で実行されたか
どのネットワークに接続しようとしたか

このような詳細な情報を含む「粒度の細かい」テレメトリがあって初めて、アナリストは攻撃者の振る舞い（IOB: Indicators of Behavior）を特定し、仮説を検証できます。データ収集の段階でこの粒度を意識しなければ、いざハンティングを始めても「必要な情報がない」という事態に陥るのです。

収集すべき主要なテレメトリソース

効果的なスレットハンティングのためには、環境全体を可視化できるよう、複数のソースからテレメトリを収集することが不可欠です。

主要なテレメトリソース

エンドポイント (EDR)：攻撃者が最も直接的に活動する場所であり、最重要のテレメトリソースです。プロセス生成、ファイル操作、レジストリ変更、ネットワーク接続、APIコール、スクリプト実行（PowerShellなど）といった詳細なアクティビティを監視します。
ネットワーク (NDR/PCAP)：エンドポイントでは見えない通信の全体像を把握します。DNSクエリ、HTTP/HTTPSの通信先やヘッダー情報、SMBトラフィックなどを分析し、C2サーバーとの通信やデータ送出の兆候を捉えます。
クラウド/ID (IdP)：クラウド利用の拡大に伴い、ID（認証情報）を狙った攻撃が増加しています。Azure ADやOktaなどの認証ログ、クラウドAPIコールログ（AWS CloudTrailなど）、権限昇格の履歴などを監視し、アカウント乗っ取りや不正な権限利用を検知します。
その他：メールセキュリティゲートウェイ（不審な添付ファイル/URL）、プロキシサーバーのログ、脆弱性スキャンの結果なども、特定の仮説を検証する上で貴重な情報源となります。

XDRがもたらすテレメトリ活用の進化

これらの多様なテレメトリを個別に分析するのは非常に手間がかかります。そこで注目されるのがXDR（Extended Detection and Response）です。XDRは、エンドポイント、ネットワーク、クラウド、メールなど、複数のセキュリティ製品からテレメトリを自動的に収集・統合し、相関分析を行うプラットフォームです。

XDRを活用することで、サイロ化した各領域のデータを横断的に可視化し、単一の製品では見抜けなかった巧妙な攻撃チェーンを明らかにできます。例えば、「メール受信→PowerShell起動→不審な外部IPへ通信→ADへの偵察活動」といった一連の攻撃を一つのインシデントとして捉えることが可能です。これにより、データ分析の効率が飛躍的に向上し、スレットハンティングの自動化と高度化が促進されます。

【実践ガイド】TTPベースの仮説ドリブン・スレットハンティング

質の高いテレメトリが準備できたら、次はいよいよ実践です。ここでは、攻撃者の「行動」に着目したTTPベースのハンティングを、仮説ドリブンで進める具体的な手順を解説します。

IOCベースとTTPベースのハンティングの違い

ハンティング手法の比較

IOCベースハンティング: 既知の悪性IPアドレス、ドメイン、ファイルハッシュ（IOC）を使い、痕跡を検索する手法。比較的始めやすいですが、未知の脅威には対応できません。
TTPベースハンティング: 特定のIOCに依存せず、攻撃者の戦術・技術・手順（TTP）そのものに着目する手法。「PowerShellによるメモリ上でのコード実行」といった攻撃者の「行動」の痕跡（IOB）を探します。未知の脅威にも対応可能で、よりプロアクティブな防御に繋がります。

仮説の立て方：MITRE ATT&CKフレームワークの活用

TTPベースのハンティングは「仮説」から始まります。優れた仮説を立てる上で非常に強力なツールが「MITRE ATT&CK」フレームワークです。ATT&CKは、観測されたサイバー攻撃のTTPを体系的にまとめたナレッジベースであり、攻撃者の行動を理解するための共通言語として世界中で活用されています。

仮説立案の3ステップ

効果的な仮説立案の手順

ステップ1：情報収集とシナリオ想定 最新の脅威インテリジェンス、自社のビジネスリスク、過去のインシデント事例を参考に、自社が狙われやすい攻撃シナリオを想定します。（例：ランサムウェア攻撃）
ステップ2：ATT&CKへのマッピング 想定シナリオをATT&CKフレームワークにマッピングし、攻撃者が利用しそうな戦術（Tactics）と技術（Techniques）を特定します。（例：Initial Access, Execution, Lateral Movementなど）
ステップ3：具体的な仮説の作成 特定した技術から、具体的な仮説を立てます。
- 仮説例1: 「正規のリモート管理ツール（PsExec, RDPなど）を悪用した横展開活動が行われているのではないか？」
- 仮説例2: 「タスクスケジューラを利用して、不審なスクリプトが定期実行されるよう永続化が仕掛けられているのではないか？」
- 仮説例3: 「LSASSプロセスのメモリにアクセスし、認証情報を窃取しようとする試みがあるのではないか？」

仮説検証の4ステップと分析手法

具体的な仮説が立ったら、それを検証するための分析サイクルを回します。

仮説検証のサイクル

データ特定とクエリ実行 仮説検証に必要なテレメトリを特定します（例：EDRのプロセス生成ログ、Windowsイベントログ）。SIEMやXDR上で、仮説に合致するログを抽出するクエリを作成・実行します。
分析と調査 クエリ結果を精査し、ベースラインから逸脱した異常なアクティビティを探します（例：IT管理者以外によるPsExecの実行、深夜帯の不審なアクセス）。疑わしい挙動を深掘りし、フォレンジック調査を進めます。
インシデントレスポンス連携 調査の結果、脅威であると断定された場合、速やかにインシデントレスポンスプロセスにエスカレーションします。CSIRTと緊密に連携し、封じ込めや復旧を支援します。
フィードバックと改善 ハンティングは脅威発見で終わりではありません。発見したTTPを検知・ブロックするための新しい検知ルールをSIEMやEDRに実装したり、脆弱性を修正したりするなど、防御策を強化するためのフィードバックが不可欠です。このサイクルが組織のセキュリティレベルを向上させます。

スレットハンティングの成果測定｜KPI設定と運用改善のポイント

スレットハンティングは継続的な活動であり、その効果を客観的に評価し、改善を続けていくことが重要です。

成果測定のための主要なKPI/メトリクス

活動の価値を多角的に示すために、以下のようなKPI（重要業績評価指標）を設定することが有効です。

スレットハンティングの主要KPI

新規検知ルールの作成数：ハンティングの知見が防御力向上に直接貢献したことを示す指標。
平均検知時間（MTTD）/ 平均応答時間（MTTR）の短縮率：脅威を早期発見し、ビジネスインパクトを低減した貢献度を測る指標。
検知をすり抜けた脅威の発見数：スレットハンティング独自の価値を示す直接的な指標。
仮説のヒット率：立案した仮説が脅威発見に繋がった割合。ハンティングチームの成熟度を示します。
分析カバレッジ（vs. MITRE ATT&CK）：自社のテレメトリでどの程度の攻撃技術を可視化できているかを評価し、データ収集の改善に繋げます。

継続的な改善サイクル（フィードバックループ）の構築

スレットハンティングの真価は、継続的な改善サイクルを構築することにあります。ハンティングで得た知見は、防御チームや脆弱性管理チームに共有し、パッチ適用や設定見直しに繋げます。

また、これらの活動成果や発見事項は、経営層にも理解できる形で定期的に報告することが重要です。MTTD/MTTRの改善といった具体的な数値や、回避できたビジネスインパクトを提示することで、セキュリティ投資の正当性を証明し、継続的な活動への理解と支持を得ることができます。

よくある質問 (FAQ)

Q1: スレットハンティングを始めるには何から手をつければ良いですか？

A1: まずは、EDRなど自社で利用可能なログの内容を把握することから始めましょう。次に、MITRE ATT&CKを参考に、自社にとってリスクの高い攻撃技術を1〜2個選び、「こんな攻撃があるのでは？」という簡単な仮説を立ててデータを検索してみるのが良い第一歩です。完璧を目指さず、小さく始めて経験を積むことが重要です。

Q2: 専門のハンターがいなくてもスレットハンティングは可能ですか？

A2: 可能です。専任チームが難しい場合でも、既存のSOCアナリストが業務時間の一部を使って特定の仮説を検証する活動から始められます。また、近年のXDR製品にはハンティング支援機能が搭載されているものも多くあります。専門家によるMDR（Managed Detection and Response）サービスを活用するのも有効な選択肢です。

Q3: SIEMとXDRはスレットハンティングでどう使い分けますか？

A3: SIEMとXDRは相互補完の関係です。XDRは高品質なテレメトリの深い相関分析によるプロアクティブな脅威検知に強みを持ちます。一方、SIEMはコンプライアンス要件のための長期ログ保管や、組織全体のログを横断検索するフォレンジック調査で役立ちます。初期段階ではXDRで脅威の兆候を捉え、広範な調査が必要な場合にSIEMを活用する、といった使い分けが効果的です。

まとめ：データ設計こそがプロアクティブな防御の第一歩

スレットハンティングは、もはや一部の先進企業だけのものではありません。巧妙化するサイバー攻撃から組織を守るための、標準的なセキュリティ運用となりつつあります。

その成功の鍵は、高価なツールの導入や膨大なデータの収集ではなく、目的意識を持った「データ設計」にあります。

攻撃者の行動（TTP）を捉える「使える粒度」のテレメトリを収集する
MITRE ATT&CKを活用して効果的な仮説を立て、検証サイクルを回す
発見した知見を防御策にフィードバックし、継続的に改善する

このプロセスこそが、スレットハンティングの本質です。XDRのような先進的なソリューションも活用しながら、プロアクティブな脅威検知・レスポンス体制を構築し、自社のセキュリティ運用を次のレベルへと進化させていきましょう。

この記事のまとめ

スレットハンティングは、高度化するサイバー攻撃から組織を守るための不可欠なプロアクティブな活動です。
成功の鍵は、分析に耐えうる「粒度」を意識したデータ設計と、MITRE ATT&CKに基づく仮説検証サイクルの確立にあります。
XDRソリューションを活用して多様なテレメトリを統合し、効率的かつ高度な脅威検知能力を構築しましょう。
発見した知見を検知ルールや防御策にフィードバックし、KPIで成果を可視化することで、継続的なセキュリティ改善が実現します。
完璧を目指さず、まずは既存のログを活用し、小さく始めて経験を積むことが、スレットハンティング導入への第一歩となります。

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com

初回公開日：2026年01月19日

記載されている内容は2026年01月19日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。また、記事に記載されている情報は自己責任でご活用いただき、本記事の内容に関する事項については、専門家等に相談するようにしてください。