読者レビュー「脅威ハンティング 潜むサイバー攻撃を暴く技術」
先週2025年11月28日に発売された「脅威ハンティング 潜むサイバー攻撃を暴く技術」を読みました。脅威ハンティング(スレットハンティング)に対して1冊書かれている数少ない書籍であり、
和書では現状この1冊しかないと認識しています。
※ 私はThreat Huntingを脅威ハンティングと翻訳せず、普段は「スレットハンティング」という言葉を使いますが、書籍内で「脅威ハンティング」と翻訳されているため、この記事では「脅威ハンティング」と統一します。
原著は「Cyber Threat Hunting」で著者のNadhem AlFardan氏は情報セキュリティにて20年以上のキャリアを持つ方です。
TLDR
- 原著の正式な出版月は2025年1月前後であるため、内容の多くが古くなくモダンです😀!
- 原著が出版されてからわずか10ヶ月程度で和書(翻訳本)を脅威ハンティング技術に深く関わっている訳者ら(徳正保彦、 東結香、 田中啓介、 山重徹)によってリリースされています😍!!
- 円安もあり、英語原著は1万円以上するが翻訳本は4000円です☺️!!!
- 脅威ハンティングについて実情や実態を知りたいマネージャー、また脅威ハンターを目指したいエンジニアやアナリストにとっておすすめ🎶
- 実践的なPartの末尾には追加演習がありgithubに演習用データも用意していただいているため、手を動かして理解を深められます。💻
- 3年以上脅威ハンティングにしっかり従事してきたハンターからみるとすでに実施した手法が多いかもしれません。が、再確認および再検討できます。
- 紙媒体ではカラー印刷ではなく白黒であるため、グラフ・チャートの情報が一部読み取りにくくなっています。(電子書籍版もカラー印刷ではないそうです)
レビュー背景
私は10年以上脅威ハンティングに関わっており、ここ4年は脅威ハンティングを業務の中心において活動してます。
脅威ハンティング専門のグローバルカンファレンスでも発表経験があります。
複数のクライアントから本書籍について問い合わせを受けたため、紙媒体にて一読しました。
脅威ハンターの仲間がもっと増えて欲しいという思いが2年ほど前からあり、どうせなら広く一般に紹介したほうがよいと考え、この記事を書きました。
書籍の目次
Part1 脅威ハンティングの基礎
1章 脅威ハンティングの導入
2章 脅威ハンティング実践の基盤構築
Part2 脅威ハンティングの実践
3章 初めての脅威ハンティング
4章 脅威ハンティングのための脅威インテリジェンス
5章 クラウド環境でのハンティング
Part3 高度な分析を用いた脅威ハンティング
6章 基本的な統計的構造の活用
7章 統計ロジックのチューニング
8章 k-means を用いた教師なし機械学習
9章 ランダムフォレストとXGBoostによる教師あり機械学習
10章 欺瞞を使ったハンティング
Part4 脅威ハンティングの実践と運用
11章 調査結果への対応
12章 成功の測定
13章 チームの強化
Partごとにおすすめしたい読者層
私の主観です。少なくともこの章は読むべきという視点です。
Part1 脅威ハンティングの基礎
- セキュリティマネージャー
- 1,2年目の脅威ハンター
- 3年目以上の脅威ハンター
Part2 脅威ハンティングの実践
- SOCアナリスト
- 1,2年目の脅威ハンター
- 脅威インテリジェンスアナリスト
Part3 高度な分析を用いた脅威ハンティング
- 3年目以上の脅威ハンター
- データサイエンティスト
Part4 脅威ハンティングの実践と運用
- セキュリティマネージャー
- 1,2年目の脅威ハンター
- 3年目以上の脅威ハンター
- 脅威インテリジェンスアナリスト
- インシデントハンドラー
これから脅威ハンターを目指している方は、すべてのPartを読破されることをおすすめします!
読んでみての感想
総じてこの4年間に脅威ハンティングでやってきたアプローチや分析手法がだいたい書かれており、自分のやってきたことが間違ってなかったという感触を得られたのが一番の収穫です。
本書では脅威ハンティングにおいて一番難しい仮説立案・仮説策定についての汎用的なアドバイスは少ないものの、Part、章ごとにサンプルとなる例を提供してくれていて、いままでハンティングの仮説を全く作ったことがない方には参考になると思います。
脅威ハンターの責任分界点と役割、脅威ハンティングプレイブックの書き方については、自分のやり方と異なる点はあるものの、チームで実施する脅威ハンティングのフレームワークを提示してくれており、いまから脅威ハンティングチームを立ち上げる読者には刺さると思います。
また認知バイアスについての記述もあり経験豊富なハンターも得られることがあると思います。
ちなみに自分は将来的に得られる成果よりも、すぐに得られる小さな成果を選んでしまう傾向(現在バイアス)がかかるときがあることを再認識できました。
本書は、細かい仮説策定が事前に要求される構造化されたハンティング(Constructed Hunting)に重点が置かれています。
私は普段、異常検出寄りの非構造化されたハンティング(Unconstructed Hunting)を使うことも多々あるのですが、そちらの知見を求めて本書を読むとアンマッチします。
非構造化されたハンティング(Unconstructed Hunting)はデータありきで汎用性もないため書籍にしずらい領域です。
非構造化されたハンティング(Unconstructed Hunting)の知見を得たい方は本書よりは確率統計学の書籍を読む方がよいでしょう。
「1章 脅威ハンティングの導入」、「2章 脅威ハンティング実践の基盤構築」、「12章 成功の測定」、「13章 チームの強化」は、現状の脅威ハンティングに関する知識と考え方のブラッシュアップができて
大変参考になりました。これらは脅威ハンティングに関わる多くの方々に参考となることが少なくとも書かれていると思います。
最後に、原著の正式な出版日は2025年1月ですが、約3年前に技術書 eBookとして著者が
Manning Early Access Program (MEAP)でリリースしたことをLinkedInで周知されています。
よっていくつかの章は3年以上前に書かれている可能性があり、例えばEntraではなくAzure Active Directoryの旧名称のままでした。
それでも昨今の脅威ハンティングのアプローチ内容や実情を書かれている点には変わりありません。
補足: 著者 Nadhem AlFardan氏がLinkedInで紹介した本書へのメッセージ
The book helps you:
- Design and implement a cyber threat hunting framework
- Conduct threat hunt expeditions
- Streamline how you work with other cyber security teams
- Structure threat hunting expeditions without losing track of activities and clues
- Use statistics and machine learning techniques to hunt for threats
ご一読ありがとうございました。
Happy Threat Hunting!