セキュリティ侵害インジケーター(IoC)とは?

安全性が損なわれたことを示す兆候(IoC)とは、攻撃者や悪意のあるソフトウェアが残した証拠で、セキュリティインシデントを特定するために使用することができます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 安全性が損なわれたことを示す兆候(IoC)を定義する。
  • 一般的なIoCに注目する
  • 検出と応答を向上するためのIoCの使用方法を知る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

セキュリティ侵害インジケーター(IoC)とは?

侵害の痕跡(IoC)とは、特定のセキュリティ侵害に関する情報であり、セキュリティチームが攻撃が行われたかどうかを判断するのに役立つものです。このデータには、使用されたマルウェアの種類、関与したIPアドレス、その他の技術的な詳細など、攻撃に関する詳細が含まれる場合があります。

安全性が損なわれたことを示す兆候(IoC)はどのように機能しますか?

侵害の痕跡(IoC)は、組織がデバイスやネットワーク上の悪意のあるソフトウェアの存在を特定し、確認するためのものです。攻撃が起きると、メタデータなどの証拠となる痕跡が残ります。その証拠をもとに、セキュリティの専門家はセキュリティインシデントを検出、調査、対処することができます。

IoCは、以下のようないくつかの方法で取得することができます。

  • 監視:システムやデバイスの異常な活動や挙動を監視する
  • 分析:不審な行動の特徴を判断し、その影響を分析する
  • シグネチャー:既知の悪意のあるソフトウェアのシグネチャーを識別する

一般的なIoCのタイプは?

セキュリティインシデントを検出するために使用できるIoCには、いくつかの異なるタイプがあります。以下のようなものがあります。

  • ネットワークベースのIoCには、悪意のあるIPアドレス、ドメイン、URLなどの他、異常なポートの動き、既知の悪意のあるホストへのネットワーク接続、データ流出のパターンなど、ネットワークトラフィックのパターンが含まれる場合もあります。
  • ホストベースのIoCは、ワークステーションやサーバー上のアクティビティに関連するものです。ホストベースのIoCの例としては、ファイル名やハッシュ、レジストリキー、ホスト上で動作している疑わしいプロセスなどがあります。
  • ファイルベースのIoCは、マルウェアやスクリプトなどの悪意のあるファイルが含まれます。
  • 挙動に関するIoCは、奇妙なユーザー動作、ログインパターン、ネットワークトラフィックパターン、認証の試行など、いくつかの種類の不審な挙動が含まれます。
  • メタデータに関するIoCは、作成者、作成日、バージョン情報の詳細など、ファイルやドキュメントに関連付けられているメタデータが含まれます。

安全性が損なわれたことを示す兆候と攻撃の兆候

IoCは攻撃の痕跡(IoA)に似ていますが、若干異なります。IoAは、あるアクションや事象が脅威となるかどうかに着目したものです。

例えば、IoAは、既知の脅威グループがWebサイトに対して分散型サービス妨害(DDoS)攻撃を仕掛ける可能性(事前)が高いことを示してくれます。このような状況下でIoCは、誰かがシステムやネットワークにアクセスし、大量のデータを転送した(事後)ことを提示します。

多くの場合、セキュリティチームは攻撃者の行動を特定するために、IoAとIoCの両方を利用します。別の例を挙げると、IoCは異常に高いネットワークトラフィックを特定することができる一方で、IoAはこの高いネットワークトラフィックが近々DDoS攻撃を示すかもしれないという予測を立ててくれます。どちらの指標も、ネットワークやシステムにおける潜在的な脅威や脆弱性に関する重要な洞察を提供するのに役立ちます。

安全性が損なわれたことを示す兆候のベストプラクティス

侵害の指標(IoC)のベストプラクティスには、自動および手動ツールの両方を使用して、サイバー攻撃の証拠を監視、検出、分析するなど、いくつかの手法が含まれます。

また、新しい技術や新しい攻撃ベクトルが出現した際には、IoCの手順を定期的に更新することが非常に重要です。IoCの手順とベストプラクティスについて最新の情報を得ることで、組織は脅威の状況を先取りし、悪意のある活動から身を守ることができます。

Cloudforce One

Cloudforce Oneは、脅威攻撃者を追跡して無力化するために作られた脅威オペレーションおよび調査チームです。このチームの高度な脅威インテリジェンス能力により、脅威リスクのあるすべてのエンティティを包括的にカバーし、組織が先手を打って、脅威が損害を与える前に対策を講じることができるようになります。