Overview
検知エンジニアリング(Detection Engineering)とは、サイバー攻撃や不正な活動を検出するための検知ルール・ロジックを体系的に設計・実装・テスト・保守するエンジニアリングプラクティスです。従来のアドホックなルール作成とは異なり、ソフトウェア開発のベストプラクティスを検知ルールの管理に適用し、品質と再現性を確保します。
Detection-as-Codeの考え方に基づき、検知ルールをコードとしてバージョン管理し、CI/CDパイプラインを通じてテスト・デプロイします。これにより、検知ルールの変更履歴の追跡、ピアレビュー、自動テスト、環境間の一貫したデプロイが可能になり、SOCの検知能力を継続的に改善できます。
効果的な検知エンジニアリングには、MITRE ATT&CKフレームワークへのマッピングが不可欠です。ATT&CKの戦術・技術に対する検知カバレッジを可視化し、ギャップを特定して優先的にルールを開発することで、攻撃者のキルチェーン全体にわたる包括的な検知態勢を構築します。Sigmaルールなどの汎用的な記述形式を活用し、SIEM製品に依存しないポータブルな検知ロジックの実現も重要です。
Details
Detection-as-Code
Detection-as-Codeは、検知ルールをソースコードと同様に管理するアプローチです。検知ルールをYAMLやJSON形式で記述し、Gitリポジトリでバージョン管理します。プルリクエストを通じたピアレビュープロセスにより、ルールの品質を担保し、チーム内でのナレッジ共有を促進します。
CI/CDパイプラインでは、ルールの構文検証、ユニットテスト(既知の攻撃ログに対するマッチング確認)、誤検知テスト(正常なログに対する非マッチング確認)を自動実行します。テストをパスしたルールのみが本番SIEMに自動デプロイされるため、ルール変更によるオペレーション障害のリスクを最小化できます。
Sigmaルール
Sigmaは、SIEM製品に依存しない汎用的な検知ルール記述フォーマットです。YAML形式で検知条件を記述し、SigmaコンバータによってSplunk SPL、Elasticsearch KQL、Microsoft Sentinel KQL、QRadar AQLなど、各SIEM固有のクエリ言語に自動変換できます。
Sigmaルールは、タイトル、説明、ステータス、ログソース、検知条件(selection/filter/condition)、誤検知情報、MITRE ATT&CKタグなどのメタデータを含む構造化された形式で記述されます。SigmaHQリポジトリには、コミュニティによって作成された数千のルールが公開されており、組織固有の環境に合わせてカスタマイズして活用できます。
MITRE ATT&CKマッピング
検知ルールをMITRE ATT&CKフレームワークの戦術・技術にマッピングすることで、組織の検知カバレッジを体系的に把握できます。ATT&CK Navigatorなどのツールを使用して、各技術に対する検知ルールの有無や成熟度をヒートマップとして可視化し、カバレッジのギャップを特定します。
カバレッジ分析に基づいて、攻撃者が頻繁に使用する技術(T1059: Command and Scripting Interpreter、T1053: Scheduled Task/Jobなど)を優先的にカバーするルール開発計画を策定します。また、D3FENDフレームワークと組み合わせることで、検知だけでなく防御対策全体のカバレッジも評価できます。
検知テスト(Detection Testing)
検知ルールの有効性を検証するためには、体系的なテストプロセスが必要です。Atomic Red Teamは、MITRE ATT&CKの各技術に対応するテストケース(Atomic Test)を提供するオープンソースプロジェクトで、検知ルールが実際の攻撃手法を正しく検出するかを検証できます。
テストは、開発環境でのユニットテスト、ステージング環境での統合テスト、本番環境でのカナリアテストの段階的なアプローチで実施します。誤検知率(False Positive Rate)と検知漏れ率(False Negative Rate)の両方を測定し、ルールのチューニングを行います。定期的な回帰テストにより、環境変化やログフォーマットの変更によるルールの劣化も検出できます。
検知カバレッジ分析
検知カバレッジ分析は、組織の検知能力を定量的に評価するプロセスです。MITRE ATT&CKマトリクスに対する検知ルールのカバレッジ率、各ルールの検知精度(True Positive Rate)、平均検知時間(MTTD)、アラートのノイズ比率などの指標を継続的に測定・改善します。
DeTT&CT(Detection Techniques and Threat Coverage Tracking)などのツールを使用して、データソースの可視性(どのログが収集されているか)と検知の可視性(どの攻撃技術が検知可能か)を区別して分析します。データソースが存在しなければ検知ルールも作成できないため、まずログ収集のギャップを特定し、次に検知ルールのギャップを埋めるという順序で取り組みます。
Security Measures
- 01Detection-as-Codeパイプラインの構築:検知ルールをGitリポジトリで管理し、CI/CDパイプラインを通じた自動テスト・デプロイを実装してください。プルリクエストベースのレビュープロセスにより、ルールの品質とナレッジ共有を確保しましょう。
- 02Sigmaルールの活用と標準化:検知ルールの記述にはSigmaフォーマットを採用し、SIEM製品への依存度を低減してください。SigmaHQコミュニティのルールを基盤として活用し、自組織の環境に合わせたカスタマイズと独自ルールの追加を行いましょう。
- 03MITRE ATT&CKベースのカバレッジ管理:すべての検知ルールをMITRE ATT&CKの戦術・技術にマッピングし、カバレッジのギャップを継続的に可視化してください。脅威インテリジェンスに基づいて、自組織を標的とする攻撃者のTTPsを優先的にカバーする計画を策定しましょう。
- 04Atomic Red Teamによる定期的なテスト:Atomic Red Teamなどのツールを活用し、検知ルールが実際の攻撃手法を正しく検出するか定期的にテストしてください。新規ルールのデプロイ時だけでなく、環境変化に伴う既存ルールの回帰テストも重要です。
- 05検知精度のKPI管理と継続的改善:誤検知率、検知漏れ率、MTTD(平均検知時間)、アラートノイズ比率などの指標を定期的に測定し、検知能力の改善を定量的に追跡してください。高ノイズのルールは迅速にチューニングし、アナリストのアラート疲れを防止しましょう。
- 06データソースの可視性確保:検知ルールの前提となるデータソース(ログ)の収集状況を把握し、必要なログが確実にSIEMに取り込まれていることを確認してください。DeTT&CTなどのツールでデータソースのカバレッジを分析し、収集のギャップを優先的に解消しましょう。
Incidents
📋 Log4Shell検知ルールの回避による侵害拡大(2021年)
2021年12月に公開されたLog4Shell脆弱性(CVE-2021-44228)では、初期の検知ルールが単純な文字列マッチング(「${jndi:ldap://」)に依存していたため、攻撃者が難読化テクニック(ネストされた変数展開、URLエンコーディング、Unicode変換など)を使用して検知を回避しました。
初期ルールでは検知できない攻撃バリエーションが数十種類確認され、多くの組織で侵害が検知されないまま進行しました。この事例は、正規表現ベースの単純なパターンマッチングの限界と、攻撃者の回避手法を考慮した堅牢な検知ロジックの設計の重要性を示しました。
📋 過剰なアラートによるSOCアナリストの検知見逃し(2023年)
2023年、ある大手小売企業のSOCにおいて、検知ルールのチューニング不足により1日あたり数万件のアラートが発生していました。アナリストはアラート疲れ(Alert Fatigue)に陥り、重要度の高いアラートを含む大量の通知を適切に処理できない状態が継続していました。
この状況下で、攻撃者がPOSシステムにマルウェアを設置し、顧客のクレジットカード情報を数ヶ月にわたって窃取する事件が発生しました。該当する検知アラートは発報されていたものの、大量のノイズに埋もれて見逃されていました。検知ルールの精度管理とアラートの優先順位付けの重要性を示す事例です。
📋 検知ルールの陳腐化によるAPT攻撃の長期潜伏(2024年)
2024年、ある政府関連機関において、APTグループが約8ヶ月間にわたり内部ネットワークに潜伏していたことが判明しました。調査の結果、攻撃者が使用したLiving-off-the-Land(LotL)手法に対する検知ルールが組織のSIEMに存在しないことが明らかになりました。
同機関の検知ルールは3年以上更新されておらず、PowerShellの悪用やWMIによる横展開など、近年のAPTが多用するTTPsに対するカバレッジが著しく不足していました。MITRE ATT&CKに基づく定期的なカバレッジ分析と、脅威インテリジェンスに基づくルールの継続的な更新の必要性が浮き彫りになりました。