Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 013

アクティブディフェンス

監修Cybersecurity entrepreneur & security researcher

アクティブディフェンス とは何ですか?

アクティブディフェンス受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。


アクティブディフェンスとは、違法なハックバックの一線を越えることなく、攻撃者のコストとリスクを引き上げる手法群を指します。具体的には、デセプション(ハニーポット、ハニーファイル、おとりアカウント)、スレットハンティング、ネットワーク内エンゲージメント、tarpit、ビーコン入り文書、情報の付与/隠蔽オペレーションなどが含まれます。MITRE Engage フレームワークはかつての Shield プロジェクトに代わって本分野を体系化し、Collect、Detect、Disrupt、Reassure、Motivate などの技術カテゴリに整理しています。すべての活動は防御側が所有または管理する資産上で行われます。アクティブディフェンスは、攻撃者の振る舞いを誘導し、高品質なテレメトリと実用的な脅威インテリジェンスを生み出すことで、従来の検知・対応を補完します。

本分野の範囲を整理する有用な枠組みとして、SANS 系の Active Defense Harbinger Distribution(ADHD)が広めた「annoyance, attribution, and attack(妨害・帰属特定・攻撃)」のスペクトラムがあります。多くの組織にとって合法なのは最初の二つだけであり、「攻撃」——すなわち敵対者自身のインフラへの侵入——は通常、米国の Computer Fraud and Abuse Act(CFAA)や国外の同等の法律に違反します。実務的かつ正当化しやすいツールとしては、カナリアトークン(Thinkst Canarytokens)、Endlessh のような SSH tarpit、歴史的に知られる LaBrea tarpit、そして認証情報窃取ツールを誘い出すために LSASS やブラウザに仕込むおとり認証情報などが挙げられます。正規ユーザーがそれらに触れる理由は一切ないため、いずれも高忠実度のアラートを発し、シグネチャベースのアラートに比べて誤検知を大幅に削減します。

エンゲージメントは情報ももたらします。ハニーファイルのビーコンは持ち出し先のエンドポイントを明らかにし、突如として認証を行うおとりの Active Directory アカウントは進行中のラテラルムーブメントを露呈させます。防御側は「情報の付与/隠蔽(intelligence gain/loss)」——敵対者と関与することで相手に気づかれ、欺瞞が露見してしまうリスク——を比較考量し、法的に問題のない側にとどまるために、すべての行動を自社が所有するインフラの内側に保たなければなりません。

flowchart LR
  A[ネットワーク内の敵対者] --> B{おとりに触れたか?}
  B -- はい --> C[高忠実度アラート]
  B -- いいえ --> D[通常の監視]
  C --> E[エンゲージ:tarpit / 観察]
  E --> F[TTPs と IOCs を収集]
  F --> G[妨害して排除]
  G --> H[脅威インテリジェンスへ還元]

  1. 01

    スキャナーの TCP コネクションを数分間つかんで離さない tarpit。

  2. 02

    ビーコンを仕込んだハニーファイルで持ち出し先を特定する運用。

よくある質問

アクティブディフェンス とは何ですか?

受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。 サイバーセキュリティの 防御と運用 カテゴリに属します。

アクティブディフェンス とはどういう意味ですか?

受動的な監視にとどまらず、防御者自身のネットワークと資産の範囲内で敵対者に積極的に関与し、誤誘導し、妨害する防御戦略。

アクティブディフェンス からどのように防御しますか?

アクティブディフェンス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

アクティブディフェンス の別名は何ですか?

一般的な別名: 防御的サイバー作戦, アドバーサリーエンゲージメント。

関連用語

関連項目