検知 けんち
簡単に言うとこんな感じ!
「何か変なことが起きてるぞ!」って気づく仕組みだよ。家の防犯センサーが不審者を感知してアラームを鳴らすのと同じで、ネットワークやシステムへの不正アクセス・攻撃をいち早く見つけるのが「検知」なんだ!
検知とは
セキュリティの文脈における検知(Detection)とは、システムやネットワークに対する不正アクセス・マルウェア感染・異常な通信などの脅威や異常を早期に発見することを指します。インシデント対応の流れの中で「検知」は最初のステップであり、ここが遅れると被害が拡大するため、対応全体の要となります。
NIST(米国国立標準技術研究所)が定義するサイバーセキュリティフレームワーク(CSF)でも、「識別→防御→検知→対応→復旧」 という5機能の中に検知が明確に位置づけられています。どれだけ堅固な防御をしていても、完全な侵入ゼロは難しい時代において、「侵入をいかに素早く検知できるか」が被害の最小化に直結します。
ビジネスの現場では、検知が遅れた結果として情報漏えいや業務停止が長引き、大きな損害につながった事例が数多くあります。「気づいたのは3か月後でした」というケースは珍しくなく、平均検知までの時間(MTTD: Mean Time to Detect) を短縮することが、セキュリティ担当者の重要な指標となっています。
検知の主な種類と仕組み
検知の手法は大きく「何を見るか」と「どうやって判断するか」で分類できます。
| 検知手法 | 概要 | 得意なこと | 苦手なこと |
|---|---|---|---|
| シグネチャベース検知 | 既知の攻撃パターン(シグネチャ)と照合 | 既知のマルウェア・攻撃の検出 | 未知の攻撃(ゼロデイ)には無力 |
| アノマリベース検知 | 正常な状態からの逸脱を検出 | 未知の攻撃・内部不正の発見 | 誤検知(False Positive)が多くなりやすい |
| ビヘイビアベース検知 | プロセスや通信の「振る舞い」を監視 | ランサムウェアなど動作パターンが特徴的な脅威 | 高度な解析エンジンが必要 |
| ログ相関分析 | 複数ソースのログを突き合わせて異常を検出 | 複合的な攻撃の全体像把握 | ログの収集・正規化に手間がかかる |
検知レイヤーで覚える:「エンドポイント・ネットワーク・クラウド」
検知が行われる場所(レイヤー)も重要です。一か所だけ監視しても抜け漏れが生じるため、多層的に検知することが推奨されます。
【多層検知のイメージ】
┌──────────────────────────────┐
│ クラウド層 │ ← CASB・クラウドセキュリティ
├──────────────────────────────┤
│ ネットワーク層 │ ← IDS/IPS・ファイアウォールログ
├──────────────────────────────┤
│ エンドポイント層(PC・サーバ)│ ← EDR・ウイルス対策ソフト
└──────────────────────────────┘
↓ 各層のログ・アラートを集約
┌──────────────────────────────┐
│ SIEM(統合監視・相関分析) │
└──────────────────────────────┘代表的な検知ツールの分類
| ツール名 | 正式名称 | 役割 |
|---|---|---|
| IDS | Intrusion Detection System(侵入検知システム) | 不正アクセスを検知して通知 |
| IPS | Intrusion Prevention System(侵入防止システム) | 検知+自動でブロックも行う |
| EDR | Endpoint Detection and Response | PCやサーバ上での不審な動作を検知・記録 |
| SIEM | Security Information and Event Management | 複数システムのログを集めて相関分析 |
| NDR | Network Detection and Response | ネットワークトラフィックの異常を検知 |
歴史と背景
- 1980年代:米空軍の研究者 Dorothy Denning が侵入検知の概念を論文で提唱。コンピュータへの不正アクセスを統計的に検出するモデルを発表
- 1990年代:インターネットの普及とともにネットワーク型IDS(NIDS)が登場。Snort(1998年)がオープンソースのIDSとして広まる
- 2000年代:シグネチャベース検知の限界が顕在化。ゼロデイ攻撃や標的型攻撃への対応が課題に。SIEMの概念が登場しログの一元管理が進む
- 2010年代:標的型攻撃(APT)の増加を受け、EDRが台頭。エンドポイントの詳細な振る舞い記録が重視されるように
- 2015年以降:機械学習・AIを活用したアノマリ検知が実用化。未知の脅威への対応力が向上
- 2020年代:クラウドシフトに伴い、XDR(Extended Detection and Response) が登場。エンドポイント・ネットワーク・クラウドを横断した統合検知が主流に
検知とインシデント対応フローの関係
検知は「インシデント対応」という大きなサイクルの出発点です。検知が遅れると、その後の全ステップが後ろ倒しになり被害が拡大します。
MTTD(平均検知時間)とは
セキュリティの成熟度を測る指標として MTTD(Mean Time to Detect) がよく使われます。攻撃が始まってから「あ、やられてる」と気づくまでの平均時間です。業界調査によると、過去には平均200日以上気づかれないケースもあり、いかに検知を早めるかが重要課題となっています。
| 指標 | 正式名称 | 意味 |
|---|---|---|
| MTTD | Mean Time to Detect | 攻撃発生→検知までの平均時間 |
| MTTR | Mean Time to Respond | 検知→初動対応完了までの平均時間 |
| MTTC | Mean Time to Contain | 検知→封じ込め完了までの平均時間 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4765 | IDMEF(Intrusion Detection Message Exchange Format):IDS間でアラート情報を交換するためのデータ形式 |
| RFC 4767 | IDXP(Intrusion Detection Exchange Protocol):侵入検知システム間の通信プロトコル |
| RFC 8600 | STIX/TAXII を使ったサイバー脅威インテリジェンスの共有フレームワーク関連 |
関連用語
- インシデント対応 — 検知後に行う封じ込め・除去・復旧の一連のプロセス
- SIEM — 複数システムのログを収集・相関分析してアラートを生成する統合監視基盤
- EDR — エンドポイント(PC・サーバ)上の脅威を検知・記録・対応するツール
- IDS/IPS — ネットワーク上の不正アクセスを検知(IDS)・遮断(IPS)する装置
- ログ管理 — システムの動作記録を収集・保管・分析する仕組み。検知の基盤となる
- 脅威インテリジェンス — 攻撃者の手口・IOCなどの情報を収集・活用して検知精度を高める取り組み
- SOC — Security Operations Center。24時間365日で検知・監視を行う専門組織
- ゼロデイ攻撃 — パッチ未公開の脆弱性を突く攻撃。シグネチャベース検知が効きにくい代表例