IOB検知とは？IOCとの違いからTTP分析・導入ステップまで徹底解説

サイバーセキュリティにおいて、脅威検知の指標にはIOCとIOBの2つが存在します。両者は似ていますが、アプローチが根本的に異なります。効果的なセキュリティ対策のためには、まずこの違いを正確に理解することが不可欠です。

IOC (Indicator of Compromise) は「侵害の痕跡」や「侵害指標」と訳され、過去のサイバー攻撃で使われた具体的な証拠（アーティファクト）を指します。

IOCベースの検知は、これらのブラックリストとシステム情報を照合して脅威を発見します。既知の脅威に対しては高速かつシンプルに検知できる反面、「過去に観測されたもの」しか検知できないという大きな弱点を抱えています。攻撃者がIPアドレスやファイル内容を少し変更するだけで、亜種のマルウェアや未知の攻撃には全く対応できません。

一方、IOB (Indicator of Behavior) は「振る舞いの痕跡」と訳され、攻撃者が目的を達成するために行う一連の行動パターンそのものに着目します。特定のファイルやIPではなく、「何が行われたか」という文脈（コンテキスト）を重視するアプローチです。

例えば、「Wordファイル開封後、PowerShellが起動し、外部の不審なIPへ暗号化通信を開始した」という一連の振る舞いは、典型的なファイルレス攻撃のIOBです。個々のイベントは正常に見えても、それらが特定の順序・組み合わせで発生した場合に「悪意のある行動」として検知します。

この振る舞い分析により、IOCベースでは見逃す未知の脅威や、正規ツールを悪用する「Living Off The Land (LotL)」攻撃にも対応可能になります。IOB検知は、攻撃の「点」ではなく「線」で捉えることで、より高度な脅威検知を実現します。

現代のセキュリティ対策において、従来のIOCからIOBへの移行が急務とされる背景には、主に3つの理由があります。

IOB検知を実践する上で中心的な概念となるのが「TTP」です。TTPを理解することは、断片的なイベント情報から攻撃者の意図を読み解き、効果的な検知ルールを構築するための羅針盤となります。

TTP (Tactics, Techniques, and Procedures) は、攻撃者がどのような目的（戦術）で、どのような手法（技術）を、どのような手順で実行するのかをモデル化したものです。

TTPを分析することで、攻撃者の意図や攻撃フェーズを把握でき、プロアクティブな脅威分析や迅速なインシデント対応が可能になります。

TTPの理解に欠かせないのが、米国の非営利団体MITRE社が開発した「MITRE ATT&CK」フレームワークです。これは、世界中のサイバー攻撃TTPを網羅的に収集・体系化した巨大なナレッジベースです。

ATT&CKは、攻撃フェーズを14の戦術に分類し、紐づく技術・手順をマトリックス形式で整理しています。ATT&CKを活用するメリットは以下の通りです。

ATT&CKは、TTPベースの脅威検知、すなわちIOB検知を実践するための具体的な設計図として世界中で活用されています。

ここからは、IOB検知の考え方に基づき、攻撃者の行動パターンを分析し、検知ルールとしてテンプレート化していく具体的な5つのステップを解説します。

振る舞い分析の基盤は、豊富で詳細なデータです。まずは、PCやサーバーから詳細な操作ログ「Telemetry（テレメトリ）データ」を収集します。

次に、収集したデータをもとに、平時の正常な状態、すなわち「ベースライン」を確立します。 例：「経理部のPCは通常、会計ソフトとOfficeしか使わない」「Webサーバーは外部の443ポートからの通信のみ受け付ける」

このベースラインから逸脱する振る舞いを「異常」として検知します。例えば、経理部のPCで突然PowerShellが実行されれば、それはベースラインから外れた異常な振る舞いです。これが異常検知の第一歩となります。

検知した異常な振る舞いが、どのような攻撃活動の一部なのかをMITRE ATT&CKフレームワークを用いて分析します。

例えば、「PowerShellによる不審なスクリプト実行」という異常は、ATT&CKマトリックスの「実行 (Execution)」戦術における「T1059.001: PowerShell」にマッピングできます。これにより、断片的なアラートが意味を持つストーリーとなり、攻撃の全体像と深刻度を正確に把握できます。

TTPの分析結果に基づき、再利用可能な検知ルールを作成します。これは単一のイベントではなく、複数の条件を組み合わせたシナリオベースのルールです。

例：「WINWORD.EXEからpowershell.exeが特定の引数(-enc)で起動され、かつ外部の特定国へ通信を開始した」

この検知ルールが、特定のTTPを捉える「テンプレート」となります。このテンプレートをSIEMやEDRに実装し、自動検知の仕組みを構築します。

作成した検知ルールが、正常な業務活動を誤って検知しないか、十分にテストします。

この継続的な改善サイクルこそが、高精度なIOB検知を実現する鍵です。

IOB検知は、それを支えるテクノロジーと運用体制があって初めて機能します。

EDR/XDRは、PCやサーバーなどのエンドポイントにおける振る舞いを詳細に監視・記録し、脅威を検知・対応するソリューションです。IOB検知に不可欠なTelemetryデータを収集する中核技術であり、TTPに基づいた脅威分析を強力に支援します。

SIEMは、EDR/XDRやファイアウォールなど多様なソースからログを集約・相関分析し、巧妙な攻撃の兆候を発見します。SOAR (Security Orchestration, Automation and Response) と組み合わせることで、アラート検知後の初動対応（IPブロック、端末隔離など）を自動化し、インシデント対応を迅速化します。

IOB検知の導入は、SOC (Security Operation Center) のアナリストに新たなスキルセットを要求します。

組織的なリスクマネジメントの一環として、高度なスキルを持つ人材の育成や、外部専門サービス（MDRなど）の活用も有効です。

従来のIOCベースの検知は、巧妙化する現代のサイバー攻撃の前では限界を迎えています。これからのセキュリティ対策の主役は、攻撃者の「振る舞い」に着目するIOB検知です。

本記事では、IOBの基本から、TTP分析、そして具体的な導入5ステップまでを解説しました。

IOB検知への移行は、単なるツール導入ではなく、セキュリティ運用の哲学を変革する取り組みです。攻撃者の一歩先を行くプロアクティブなセキュリティ体制を構築するために、今こそIOB検知へのシフトをご検討ください。

Q. IOB検知と振る舞い検知は同じものですか？

Q. 中小企業でもIOB検知は導入できますか？

Q. IOB検知を導入すれば、アンチウイルスソフトは不要になりますか？