ページの本文へ

セキュリティ

IoC(Indicator of Compromise)とは? セキュリティ対策にどのように役立つのか

IoC(Indicator of Compromise)は、サイバーセキュリティ対策において重要な役割を持つデータです。現在ではさまざまな企業や組織でIoCが取得され、サイバー攻撃の分析や検知に活用されています。
この記事では、IoCの概要やIoAとの違い、IoCがどのように活用されているのかについて解説します。IoCに対する理解を深め、企業のセキュリティ対策を強化したい方はぜひ参考にしてください。

  1. IoC(Indicator of Compromise)とは
  2. IoCとIoA(Indicator of Attack)の違い
  3. IoCの仕組みと取得できる情報
  4. IoCはどのようにセキュリティに役立つのか
  5. IoC活用における課題

IoC(Indicator of Compromise)とは

IoCとは、システムがサイバー攻撃を受けた際に残るさまざまな指標のことです。日本語では、「侵害指標」や「セキュリティ侵害インジケーター」と呼ばれます。
例えばマルウェアのファイル名、攻撃時に通信先となったIPアドレスなど、「攻撃された後に残る痕跡」の情報がIOCとして記録されます。

IoCの記録フォーマットはさまざまです。XMLの記法をベースにオープンソースで開発されている規格や、JSONベースの規格などが策定されています。記録フォーマットによって記法やデータサイズなどが異なるものの、サイバー攻撃の痕跡を示すという目的は共通です。

IoCとIoA(Indicator of Attack)の違い

IoCと類似する言葉として、IoA(Indicator of Attack)があります。IoAとは、サイバー攻撃を行うマルウェアなどの行動パターンを指します。IoCがサイバー攻撃を受けた後に残った痕跡に関する情報であることに対して、IoAは「現在受けている攻撃のパターン」を示す情報です。

例えば、ある種のマルウェアはサイバー攻撃を行う際に、特定の記憶領域に保存されたデータを削除するというステップを踏みます。IoAにはこのような「攻撃手順」に関する情報が記録されていて、不審な行動の検知や阻止などへの活用が可能です。

IoCの仕組みと取得できる情報

IoCで取得できる主な情報は以下の通りです。

マルウェアのファイル名

マルウェアもデータの一種であるため、正常なプログラムと同様にファイル名を保有しています。IoCは攻撃を行ったマルウェアのファイル名を取得することが可能です。

不正に変更されたデータの情報

悪意のあるユーザーやマルウェアは、システム内に保存されているデータに不正な変更を加えるケースがあります。システムのユーザー自身が意図していない不正な変更は、IoCに記録される対象です。

攻撃時に通信先となったIPアドレス

情報漏えいなどを目的としたマルウェアは、不正に取得したデータを外部に送信する場合があります。サイバー攻撃の実行時に、通信先として使用されたIPアドレスも、IoCに記録されるデータの一例です。

不審なログイン試行の痕跡

システムに対して何度もログインを試みている、ランダムなユーザーIDやパスワードが入力されているなどの痕跡も、IoCで確認できます。

IoCはどのようにセキュリティに役立つのか

IoCは共通のフォーマットで記録されるため、他の企業や組織が受けたサイバー攻撃に関するデータを共有することが可能です。

さまざまなシステムから記録されたIoCを参照することで、流行しているマルウェアなどによる被害を速やかに検知できます。また、サイバー攻撃の早期発見は、ダメージを受ける範囲を最小限に抑えるためにも効果的です。

ただし、IoC自体はあくまでも攻撃の痕跡を記録したデータのため、単体では被害の予防や修復の機能を持っていません。そのため、マルウェアの発見や隔離、駆除などの機能をもつセキュリティ対策ソフトと組み合わせることが推奨されます。

IoC活用における課題

IoCはサイバー攻撃に関するデータの共有に役立つものの、以下のような課題もあるため注意が必要です。

情報が古くなる場合がある

マルウェアの中には、時間の経過とともにプログラムを自己改変し、進化していくものも存在しています。攻撃のパターンが次々と変わるマルウェアの場合、IoCで取得した痕跡が古くなってしまい、セキュリティ対策に利用できないこともあります。

有益な情報の取得に技術が必要

IoCには、サイバー攻撃に関する膨大な量の情報が記録されています。それらの中から、セキュリティ対策に役立つ有益な情報を取得するためには、データ分析の技術が必要です。

コストがかさむ可能性がある

IoCを活用するためには、ツール導入時の初期費用や運用コストなどがかかります。実施する対策の規模によっては、コストがかさむ可能性があるため、必要となる費用を事前にシミュレーションしておくことが大切です。

IoCとは、セキュリティ対策のために活用されるデータの一種です。サイバー攻撃を受けた際の痕跡がIoCに記録されます。他の企業や組織とIoCを共有することで、サイバー攻撃の検知や影響範囲を軽減することが可能です。セキュリティ対策を強化したい方は、IoCを取り入れてみてはいかがでしょうか。

以下のページでは、サイバー攻撃の検出や対策に効果的なソリューションをご覧いただけます。

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら