ラテラルムーブメント検知（らてらるむーぶめんとけんち）

ラテラルムーブメント検知とは

ラテラルムーブメントとは、攻撃者が初期侵入に成功した後、ネットワーク内の他のシステムへ移動し、特権的なアクセス権を獲得しようとする活動のことです。従来のセキュリティ対策は、ネットワークの境界を防御することに重点が置かれており、内部ネットワークでの攻撃者の活動を検知することが困難でした。ラテラルムーブメント検知は、この課題を解決するために開発されたセキュリティ技術です。

検知方法

ラテラルムーブメント検知には、主に以下の方法があります。

• ネットワークトラフィック分析: ネットワーク上を流れる通信データを分析し、異常な通信パターンを検出します。例えば、通常とは異なる時間帯や宛先への通信、大量のデータ転送などが挙げられます。
• エンドポイント検知・対応 (EDR): 各エンドポイント（PC、サーバーなど）にエージェントをインストールし、その活動を監視します。不審なプロセス実行、ファイルアクセス、レジストリ変更などを検知します。
• 振る舞い分析: システムやユーザーの通常時の振る舞いを学習し、逸脱した行動を検出します。例えば、普段アクセスしないファイルへのアクセス、不審なコマンド実行などが挙げられます。
• 脅威インテリジェンス: 既知の攻撃者の戦術、手口、ツールに関する情報を活用し、それらに合致する活動を検出します。

対策

ラテラルムーブメント検知と合わせて、以下の対策を講じることが重要です。

• 多要素認証 (MFA) の導入: アカウントの乗っ取りを防ぎ、攻撃者が他のシステムへ移動するのを困難にします。
• 最小権限の原則: 各ユーザーやアプリケーションに、必要最小限の権限のみを付与します。
• ネットワークセグメンテーション: ネットワークを細かく分割し、攻撃者が移動できる範囲を制限します。
• 定期的な脆弱性診断: システムの脆弱性を特定し、修正します。
• セキュリティ意識向上トレーニング: 従業員のセキュリティ意識を高め、不審なメールやWebサイトに注意するように促します。