Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

脅威検出と応答 (TDR) とは?

脅威の検出と応答を使用してサイバーセキュリティのリスクを事前に特定して軽減することで、組織の資産を保護する方法について説明します。

Microsoft XDR ソリューションを見る

脅威検出と応答 (TDR) 定義済み

脅威の検出と応答は、組織のデジタル資産に対するサイバー攻撃を特定し、可能な限り迅速に軽減するための手順を実行するためのサイバーセキュリティ プロセスです。

脅威検出と応答 (TDR) の動作のしくみ

サイバー攻撃やその他のセキュリティの問題に対処するために、多くの組織は セキュリティ オペレーション センター (SOC) を設定しています。これは、組織のサイバーセキュリティ体制の改善と脅威の防止、検出、応答を担当する一元的な機能またはチームです。SOC は、進行中のサイバー攻撃の監視と応答に加えて、新たなサイバー攻撃や組織の脆弱性を特定するための積極的な取り組みも行っています。ほとんどの SOC チームは、オンサイトまたはアウトソーシングの可能性があり、週に 365 日 24 時間稼働しています。

SOC は、脅威インテリジェンス、テクノロジを使用して、試行された侵害、成功した侵害、または進行中の侵害を明らかにします。サイバー攻撃が特定されると、セキュリティ チームは脅威の検出と応答ツールを使用して問題を排除または軽減します。

脅威の検出と応答には、通常、次のステージが含まれます:

  • 検出。エンドポイント、ID、ネットワーク、アプリ、クラウドを監視するセキュリティ ツールは、リスクや潜在的な侵害を表面化させるのに役立ちます。セキュリティの専門家は、サイバー攻撃の追求手法を使用して、検出を回避する高度なサイバー攻撃を明らかにします。
  • 調査。リスクが特定されると、SOC は AI やその他のツールを使用してサイバー攻撃が現実であることを確認し、それがどのように起こったかを判断し、どの会社の資産が影響を受けるかを評価します。
  • 封じ込め。サイバー攻撃の拡散を阻止するために、サイバーセキュリティ チームと自動化されたツールは、感染したデバイス、ID、ネットワークを組織の残りの資産から分離します。
  • 根絶。チームは、悪質なアクターを環境から完全に削除することを目的として、セキュリティ インシデントの根本原因を排除します。また、組織が同様のサイバー攻撃のリスクにさらされる可能性がある脆弱性も軽減されます。
  • 回復。チームがサイバー攻撃や脆弱性が削除されたことを合理的に確信した後、分離されたシステムをオンラインに戻します。
  • レポート。インシデントの重大度に応じて、セキュリティ チームは、何が起こったか、どのように解決されたかについて、リーダー、役員、または委員会の概要を文書化します。
  • リスク軽減。同様の違反が再び発生するのを防ぎ、今後の応答を改善するために、チームはインシデントを調査し、環境とプロセスに加える変更を特定します。

脅威検出とは?

組織がクラウドフットプリントを拡大し、より多くのデバイスをインターネットに接続し、ハイブリッド ワークプレースに移行するにつれて、サイバー攻撃の特定はますます困難になっています。悪質なアクターは、次の種類の戦術を使用して、この拡張された表面領域とセキュリティ ツールの断片化を利用します:

  • フィッシングの攻撃活動。悪意のあるアクターが会社に侵入する最も一般的な方法の 1 つは、従業員に悪意のあるコードのダウンロードや資格情報の提供を誘導するメールを送信することです。
  • マルウェア。多くのサイバー攻撃者は、コンピューターやシステムに損害を与えたり、機密情報を収集したりするように設計されたソフトウェアを展開します。
  • ランサムウェア。マルウェアの一種であるランサムウェアの攻撃者は、重要なシステムやデータを人質に取り、身代金を支払うまで非公開データを公開したり、クラウドのリソースを盗んでビットコインをマイニングしたりすると脅迫します。最近、サイバー攻撃のグループが組織のネットワーク全体にアクセスする人間が運用するランサムウェアは、セキュリティ チームにとってますます問題になっています。
  • 分散型サービス拒否 (DDoS) 攻撃。一連のボットを使用すると、悪意のあるアクターはトラフィックでいっぱいにすることで Web サイトやサービスを中断します。
  • 内部関係者による脅威。すべてのサイバー攻撃が組織の外部由来ではありません。また、機密データにアクセスできる信頼できるユーザーが誤って、または悪意を持って組織に損害を与えるリスクもあります。
  • ID ベースの攻撃。ほとんどの侵害には、侵害された ID が含まれます。これは、サイバー攻撃者がユーザーの資格情報を盗んだり推測したりして、それらを使用して組織のシステムとデータにアクセスするようなケースです。
  • モノのインターネット (IoT) 攻撃。IoT デバイスはサイバー攻撃に対しても脆弱です。特に、最新のデバイスが行う組み込みのセキュリティ 制御がないレガシ デバイスです。
  • サプライ チェーン攻撃。サードパーティ ベンダーが提供するソフトウェアやハードウェアを改ざんして、悪質なアクターが組織を標的にすることがあります。
  • コードの挿入。ソース コードが外部データを処理する方法の脆弱性を悪用することにより、サイバー犯罪は悪意のあるコードをアプリケーションに挿入します。

脅威の検出
サイバー セキュリティ攻撃の増加を先取りするために、組織は脅威モデリングを使用してセキュリティ要件を定義し、脆弱性とリスクを特定し、修復に優先順位を付けます。SOC は、仮想的なシナリオを使用して、サイバー犯罪者の心の中に入り込み、セキュリティ・インシデントを防止または軽減する組織の能力を向上させようとします。MITRE ATT&CK® フレームワークは、一般的なサイバー攻撃の手法と戦術を理解するのに役立つモデルです。

多層防御には、環境の継続的なリアルタイム監視を提供し、潜在的なセキュリティの問題を表面化させるツールが必要です。また、解決策は重複している必要があり、1 つの検知方法が侵害された場合、2 つ目の検知方法が問題を検知し、セキュリティ チームに通知します。サイバー攻撃検出ソリューションでは、次のようなさまざまな方法を使用して脅威を特定します:

  • シグネチャベースの検出。多くのセキュリティ ソリューションでは、ソフトウェアとトラフィックをスキャンして、特定の種類のマルウェアに関連付けられている一意のシグネチャを識別します。
  • ビヘイビアーベースの検出。新しいサイバー攻撃や新しいサイバー攻撃をキャッチするために、セキュリティ ソリューションはサイバー攻撃で一般的なアクションと行動も探します。
  • 異常ベースの検出。AI と分析は、ユーザー、デバイス、ソフトウェアの一般的な動作をチームが理解するのに役立ち、サイバー攻撃を示す可能性のある異常なものを識別できるようにします。

ソフトウェアは重要ですが、サイバー攻撃検出でも同様に重要な役割を果たします。アナリストは、システム生成のアラートのトリアージと調査に加えて、サイバー攻撃ハンティング手法を使用して、侵害の兆候を積極的に検索したり、潜在的な脅威を示唆する戦術、手法、手順を探したりします。これらのアプローチは、SOC が高度で検出が困難な攻撃を迅速に発見して停止するのに役立ちます

脅威への応答とは?

信頼できるサイバー攻撃が特定された後、脅威応答には、SOC がそれを含めて排除し、回復し、同様の攻撃が再び発生する可能性を減らすために実行するアクションが含まれます。多くの企業は、インシデント応答を開発、組織化され、迅速に移行する際に潜在的な侵害が発生した場合にその応答を支援することを計画することが重要です。適切なインシデント応答計画には、特定の種類の脅威、役割と責任、コミュニケーション計画に関するステップ バイ ステップガイダンスを含むプレイブックが含まれています。

脅威の検出と応答のコンポーネント

組織は、さまざまなツールとプロセスを使用して、脅威を効果的に検出して応答します。

  • 拡張検出と応答

    拡張検出および応答 (XDR) 製品は、SOC がサイバー攻撃の防止、検出、o応答のライフサイクル全体を簡素化するのに役立ちます。これらのソリューションは、エンドポイント、クラウド アプリ、メール、ID を監視します。XDR ソリューションは、サイバー攻撃を検出した場合、セキュリティ チームにアラートを送信し、SOC が定義する条件に基づいて特定のインシデントに自動的に応答します。

  • ID 脅威検出と応答

    悪質なアクターは従業員をターゲットにすることが多いため、組織の ID に対する脅威を特定して応答するためのツールとプロセスを配置することが重要です。これらのソリューションでは、通常、ユーザーとエンティティの動作分析 (UEBA) を使用してベースライン ユーザーの動作を定義し、潜在的な脅威を表す異常を明らかにします。

  • セキュリティ情報イベント管理

    デジタル環境全体を可視化することは、脅威の状況を理解するためのステップ 1 です。ほとんどの SOC チームは、エンドポイント、クラウド、電子メール、アプリ、ID 間でデータを集計および関連付ける、セキュリティ情報イベント管理 (SIEM) ソリューションを使用します。これらのソリューションでは、検出ルールとプレイブックを使用して、ログとアラートを関連付けることで潜在的なサイバー攻撃を表面化させます。最新の SIEM は、AI を使用してサイバー攻撃をより効果的に発見し、外部の脅威インテリジェンス フィードを組み込んで、新しいサイバー攻撃や新たなサイバー攻撃を特定できるようにします。

  • 脅威インテリジェンス

    サイバー攻撃の全体像を把握するために、SOC では、エンドポイント、メール、クラウド アプリ、外部脅威インテリジェンス ソースなど、さまざまなソースからのデータを合成して分析するツールを使用します。このデータからの分析情報は、セキュリティ チームがサイバー攻撃に備え、アクティブなサイバー攻撃を検出し、進行中のセキュリティ インシデントを調査し、効果的に対応するのに役立ちます。

  • エンドポイントでの検出と対応

    エンドポイントでの検出と対応 (EDR) ソリューションは、コンピューター、サーバー、モバイル デバイス、IoT などのエンドポイントのみに焦点を当てた、以前のバージョンの XDR ソリューションです。XDR ソリューションと同様に、潜在的な攻撃が検出されると、これらのソリューションはアラートを生成し、特定のよく理解された攻撃に対して自動的に対応します。EDR ソリューションはエンドポイントにのみ焦点を当てているため、ほとんどの組織は XDR ソリューションに移行しています。

  • 脆弱性の管理

    脆弱性管理は、コンピューター システム、ネットワーク、エンタープライズ アプリケーションのセキュリティ上の弱点を監視する、継続的かつ予防的で、多くの場合自動化されたプロセスです。脆弱性管理ソリューションは、重大度とリスク レベルの脆弱性を評価し、SOC が問題を修復するために使用するレポートを提供します。

  • セキュリティのオーケストレーション、自動化、対応

    セキュリティのオーケストレーション、自動化、対応 (SOAR) ソリューションは、内部および外部のデータとツールを 1 つの一元化された場所にまとめ、サイバー攻撃の検出と対応を簡素化するのに役立ちます。また、一連の定義済みルールに基づいてサイバー攻撃の対応を自動化します。

  • マネージド検出と応答

    すべての組織に、サイバー攻撃を効果的に検出して対応するためのリソースがあるわけではありません。マネージド検出と応答マネージド検出と応答サービスを使用すると、これらの組織は、脅威を探して適切に対応するために必要なツールやユーザーを使用してセキュリティ チームを強化できます。

脅威の検出と応答の主要なベネフィット

効果的な脅威の検出と応答は、組織の回復性を向上させ、侵害の影響を最小限に抑えるのに役立ついくつかの方法があります。

  • 早期の脅威検出

    サイバー攻撃が完全な侵害になる前に停止することは、インシデントの影響を大幅に軽減する重要な方法です。最新の脅威検出および対応ツールと専用チームにより、SOC は、対処が容易になると、脅威を早期に発見する確率を高めます。

  • 規制コンプライアンス

    国と地域は、組織が堅牢なデータ セキュリティ対策を実施し、セキュリティ インシデントに対応するための詳細なプロセスを必要とする厳格なプライバシー法に準拠し続けます。これらの規則に従わない企業は、厳しい罰金に直面します。脅威の検出と応答プログラムは、組織がこれらの法律の要件を満たすのに役立ちます。

  • 滞留時間の短縮

    一般的に、最も被害が大きいサイバー攻撃は、サイバー攻撃者がデジタル環境で最も長い時間発見されずに過ごしたインシデントによるものである。発見されずに費やされた時間 (滞留時間) を減らすことは、損害を制限するために重要です。脅威追求のような脅威検出と応答プロセスは、SOC がこれらの悪質なアクターを迅速にキャッチし、その影響を制限するのに役立ちます。

  • 可視性の向上

    SIEM や XDR などの脅威検出および対応ツールを使用すると、セキュリティ運用チームは、脅威を迅速に特定できるだけでなく、対処する必要がある古いソフトウェアなどの潜在的な脆弱性を発見できるように、環境の可視性を高めることができます。

  • 機密データの保護

    多くの組織にとって、データは最も重要な資産の 1 つです。適切な脅威の検出と対応のツールと手順は、セキュリティ チームが機密データにアクセスする前に悪質なアクターをキャッチするのに役立ち、この情報が公開されたり、ダーク Web で販売されたりする可能性を減らします。

  • プロアクティブなセキュリティ態勢

    脅威の検出と応答は、新たな脅威にも光を当て、悪質なアクターが企業のデジタル環境にアクセスする方法を明らかにします。この情報により、SOC は組織を強化し、将来の攻撃を防ぐことができます。

  • コスト節約

    サイバー攻撃が成功した場合、身代金、規制当局の費用、あるいは復旧作業に費やされる実際の費用という点で、組織にとって非常に高額になる可能性があります。また、生産性と売上が失われる可能性もあります。脅威を迅速に検出し、サイバー攻撃の初期段階で対応することで、組織はセキュリティ インシデントにかかるコストを削減できます。

  • 評判管理

    注目度の高いデータ侵害は、会社や政府の評判に大きな損害を与える可能性があります。人々は、個人情報の保護が十分でないと思われる機関への信頼を失います。脅威の検出と対応は、ニュースになりやすいインシデントの可能性を減らし、個人情報が保護されていることを顧客、市民、およびその他の利害関係者に安心させることができます。

脅威の検出と応答のベスト プラクティス

脅威の検知と対応に効果的な組織は、チームが協力してアプローチを改善し、サイバー攻撃の減少とコストの削減につながるような実践に取り組んでいます。

  • 定期的なトレーニングの実施

    SOC チームは組織をセキュリティで保護する最大の責任を負いますが、社内のすべてのユーザーが果たす役割があります。セキュリティ インシデントの大部分は、従業員がフィッシングの攻撃活動の対象になったり、承認されていないデバイスを使用したりすることから始まります。定期的なトレーニングは、従業員が脅威の可能性に常に対応できるように、セキュリティ チームに通知するのに役立ちます。また、適切なトレーニング プログラムを使用すると、セキュリティ担当者は最新のツール、ポリシー、脅威応答手順を常に最新の状態に保ちます。

  • インシデント応答計画の作成

    通常、セキュリティ インシデントはストレスの多いイベントであり、対応と回復だけでなく、関連する利害関係者に正確な更新プログラムを提供するために迅速に移動することを要求します。インシデント応答計画では、適切な封じ込め、根絶、および復旧の手順を定義することで、推測作業の一部を削除します。また、従業員や他の利害関係者が何が起こっているかを把握し、組織が関連する規制に準拠していることを確認する必要がある人事、企業のコミュニケーション、宣伝、弁護士、上級リーダーに対するガイダンスも提供します。

  • 強力なコラボレーションの促進

    新たな脅威を常に先取りし、効果的な対応を調整するには、セキュリティ チーム メンバー間の良好なコラボレーションとコミュニケーションが必要です。個人は、チームの他のユーザーが脅威をどのように評価しているかを理解し、メモを比較し、潜在的な問題について協力する必要があります。コラボレーションは、脅威の検出や応答の支援に役立つ可能性がある社内の他の部門にも適用されます。

  • AI のデプロイ

    サイバーセキュリティのための AI  は、組織全体のデータを合成し、チームが時間を集中させ、インシデントに迅速に対処するのに役立つ分析情報を提供します。最新の SIEM および XDR ソリューションでは、AI を使用して個々のアラートをインシデントに関連付け、組織がサイバー攻撃をより迅速に検出するのに役立ちます。Microsoft Defender XDR などの一部のソリューションでは、AI を使用して、進行中のサイバー攻撃を自動的に中断します。Microsoft Security Copilot などのソリューションの生成型 AI は、SOC チームがインシデントをすばやく調査して対応するのに役立ちます。

ID 脅威検出と応答ソリューション

脅威の検出と応答は、すべての組織が損害を引き起こす前にサイバー攻撃を見つけて対処するのに役立つ重要な機能です。Microsoft Security には、セキュリティ チームがサイバー脅威の監視、検出、対応に役立ついくつかの脅威に対する保護ソリューションが用意されています。リソースが限られている組織の場合、Microsoft Defender エキスパートは既存のスタッフとツールを強化するためのマネージド サービスを提供します。

Microsoft Security の詳細情報

統合型のセキュリティ オペレーション プラットフォーム

統合型の検出、調査、応答エクスペリエンスを使用して、デジタル資産全体を保護します。

詳細情報

Microsoft Defender XDR

インシデント レベルの可視性と攻撃の自動中断により、対応を加速します。

詳細情報

Microsoft Sentinel

インテリジェントなセキュリティ分析を使用して、お客様のエンタープライズ環境全体にわたってサイバー脅威を把握し、阻止することができます。

詳細情報

Microsoft Defender Experts for XDR

マネージド XDR サービスを使用して、攻撃者を阻止し、将来の侵害を防ぐのに役立ちます。

詳細情報

Microsoft Defender 脆弱性の管理

継続的な脆弱性評価、リスクベースの優先順位付け、修復により、サイバー脅威を減らします。

詳細情報

Microsoft Defender for Business

マルウェアやランサムウェアなどのサイバー攻撃から中小規模のビジネスを保護します。

詳細情報

よく寄せられる質問

  • 高度な脅威検出には、セキュリティ担当者が高度な永続的な脅威を発見するために使用する手法とツールが含まれています。これは、長期間検出されないよう設計された高度な脅威です。これらの脅威は、多くの場合、より深刻であり、偽装やデータの盗難などがあります。

  • 脅威検出の主な方法は、SIEM や XDR などのセキュリティ ソリューションであり、環境全体のアクティビティを分析して、侵害の兆候や想定外の動作を検出します。これらのツールを使用して、潜在的な脅威のトリアージと対応を行います。また、XDR と SIEM を使用して、検出を回避する可能性のある高度な攻撃者を追求します。

  • 脅威検出は、デバイス、ソフトウェア、ネットワーク、または ID が侵害されたことを示す可能性のあるアクティビティなど、潜在的なセキュリティ リスクを明らかにするプロセスです。インシデント応答には、サイバー攻撃を封じ込め、排除するためにセキュリティ チームと自動化されたツールが実行する手順が含まれます。

  • 脅威の検出と応答プロセスには、次のものが含まれます:

    • 検出。エンドポイント、ID、ネットワーク、アプリ、クラウドを監視するセキュリティ ツールは、リスクや潜在的な侵害を表面化させるのに役立ちます。セキュリティの専門家は、サイバー攻撃追求手法を使用して、新たなサイバー攻撃を発見しようとします。
    • 調査。リスクが特定されると、AI やその他のツールを使用して、サイバー攻撃が実際であることを確認し、それがどのように起こったかを判断し、影響を受ける会社の資産を評価します。
    • 封じ込め。サイバー攻撃の拡散を阻止するために、サイバーセキュリティ チームは、感染したデバイス、ID、ネットワークを組織の残りの資産から分離します。
    • 根絶。チームは、敵対者を環境から完全に排除し、組織が同様のサイバー攻撃の危険にさらされる可能性がある脆弱性を軽減することを目的として、セキュリティ インシデントの根本原因を排除します。
    • 回復。チームがサイバー攻撃や脆弱性が削除されたことを合理的に確信した後、分離されたシステムをオンラインに戻します。
    • レポート。インシデントの重大度に応じて、セキュリティ チームは、何が起こったか、どのように解決されたかについて、リーダー、役員、または委員会の概要を文書化します。
    • リスク軽減。 同様の違反が再び発生するのを防ぎ、今後の応答を改善するために、チームはインシデントを調査し、環境とプロセスに加える変更を特定します。

  • TDR とは、脅威の検出と応答 (threat detectiona nd response) のことです。これは、組織に対するサイバーセキュリティの脅威を特定し、実際の損害を与える前にそれらの脅威を軽減するための手順を実行するプロセスです。EDR とはエンドポイントの検出と対応 (endpoint detection and response) のことです。これは、潜在的なサイバー攻撃について組織’のエンドポイントを監視し、それらのサイバー脅威をセキュリティ チームに表示し、特定の種類のサイバー攻撃に自動的に対応するソフトウェア製品のカテゴリです。

Microsoft 365 をフォローする