# 脅威検出（予定） {#threat-hunting}

:::warning
この機能は今後のご提供を予定しています。ご興味がある方は、アカウント担当またはサポート窓口までお問い合わせください。
:::

Takumi Runner は、収集したトレースデータをもとに CI/CD パイプライン上の脅威を能動的に検出する**脅威検出**機能の提供を予定しています。

## 脅威検出とは {#what-is-threat-hunting}

脅威検出とは、既知のシグネチャやルールに依存せず、蓄積されたトレースデータを分析して潜在的な脅威を能動的に探索するアプローチです。

現在のトレース機能では、ユーザー自身がコンソール上でトレースデータを確認し、不審な挙動を見つける必要があります。脅威検出機能では、Takumi Runner が蓄積したトレースデータに対して自動的・継続的に分析を行い、潜在的な脅威を検出してユーザーに通知します。

## 想定されるユースケース {#use-cases}

脅威検出機能は、以下のようなシナリオで活用できることを想定しています。

- **未知のサプライチェーン攻撃の検出** として、正常なビルドのベースラインから逸脱するネットワーク通信やプロセス実行を自動的に検出する
- **侵害の早期発見** として、CI/CD パイプラインを経由したクレデンシャルの窃取や不正なコード注入の兆候を、通常のビルドログからは見つけにくい粒度で捕捉する
- **継続的なセキュリティ監視** として、すべてのジョブ実行に対してバックグラウンドで分析を実施し、対応が必要なイベントのみをアラートとして通知する

## メリット {#benefits}

脅威検出機能を利用することで、以下のメリットが得られます。

- **専門知識が不要** であること。セキュリティエンジニアがトレースデータを逐一確認しなくても、脅威の兆候を自動で検出できる
- **ベースライン比較による精度** があること。過去のビルド履歴から正常な挙動を学習するため、単純なルールベースの検知よりも誤検知を抑えられる
- **追加の導入コストがかからない** こと。Takumi Runner が既に収集しているトレースデータを活用するため、新たなエージェントやツールの導入は不要である

## 制約事項 {#limitations}

一方で、以下の制約事項を把握しておく必要があります。

- **検出は確定的ではない** こと。脅威検出の結果は「疑わしい挙動」の報告であり、最終的な判断はユーザー自身が行う必要がある
- **ベースラインの構築に時間がかかる** こと。十分な精度で正常・異常を判別するには、一定期間のビルド履歴の蓄積が必要である
- **すべての攻撃を検出できるわけではない** こと。正常なビルドプロセスと区別がつかない巧妙な攻撃は、検出の対象外となる場合がある