本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

同意する
閉じる
お問い合わせ
検索
最新情報
ニュース
採用
ソリューション
企業情報
ニュース
採用
お問い合わせ

MITRE ATT&CK

MITRE ATT&CKとは

サイバー攻撃は年々巧妙化し、特に日本企業にとっても喫緊の課題となっています。これまで「攻撃されないための対策」や「防御の強化」に重点が置かれてきましたが、攻撃者がどのように行動するのかを理解することも、実は効果的な防御の第一歩です。そうした攻撃者視点を可視化する世界標準のフレームワークがMITRE ATT&CK(マイター・アタック)です。
ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略称で、直訳すれば「敵対的な戦術・技術・一般知識」となります。アメリカの非営利組織であるMITRE社が2013年に開発・公開したもので、サイバー攻撃者がシステムに侵入し、目的を達成するまでの行動パターンを体系的に分類・整理しています。インシデントレスポンスや脅威ハンティング、脅威インテリジェンスの分野で世界中の企業や政府機関が活用しており、防御側が「攻撃者はどのように行動するのか」を具体的に把握できる、実践的な知識ベースとして評価されています。

体系化された3層構造

MITRE ATT&CKは、主にTactics(戦術)、Techniques(技術)、Sub-Techniques(サブ技術)の3つの層で構成されています。
まず「Tactics」は攻撃者が達成したい目的を示します。たとえば、初期アクセス(Initial Access)、実行(Execution)、権限昇格(Privilege Escalation)、防御回避(Defense Evasion)などがこれにあたります。これらは攻撃のフェーズごとに整理され、全体像を俯瞰できるようになっています。
「Techniques」は、各Tacticsを達成するために攻撃者が実際に用いる手法です。例えば「フィッシング」や「コマンドラインインターフェースの悪用」など、より具体的な攻撃手法が記載されます。
さらに、その下位に位置する「Sub-Techniques」では、これらの手法をさらに細分化し、具体的な実行例やバリエーションを示しています。
これに加えて、ATT&CKは各攻撃手法に対して「Mitigations(緩和策)」や「Detections(検知方法)」も併せて提供しており、防御側の担当者が「どうやって防ぐか」「どのように検知するか」といった具体的な対策を考える際の指針となっています。

現場での多様な活用方法

ATT&CKはSOC(セキュリティオペレーションセンター)をはじめ、インシデントレスポンスや脅威ハンティングの現場で広く活用されています。たとえばSOCアナリストは、検知したインシデントをATT&CKマトリクスにマッピングすることで、攻撃の全体像や進行状況を迅速に把握することができます。
また、EDR(エンドポイント検知・対応)やSIEM(セキュリティ情報・イベント管理)といったセキュリティ製品もATT&CKをベースにアラートの発生箇所を分類し、チーム間での共通理解を深めるために活用されています。さらに、レッドチーム(攻撃側)とブルーチーム(防御側)が対峙する訓練でも、ATT&CKはシナリオ設計の基盤として機能し、実践的な防御力強化に貢献しています。

常に進化するフレームワーク

ATT&CKは一度作って終わりの静的なフレームワークではありません。MITREは年に数回、ATT&CKのバージョンを更新しており、新たに発見された攻撃手法や、既存技術の見直しを迅速に反映しています。これにより、クラウド環境やモバイル環境に特化したATT&CK for CloudやATT&CK for Mobileなども誕生し、より幅広い領域に対応する知識ベースへと進化しています。
そのため、ATT&CKを活用する企業は、MITREの公式サイトなどから最新バージョンを確認し、自社のセキュリティ製品や監視体制に合わせた運用を行うことが求められます。脅威は日々進化しているため、フレームワークも常に最新状態で利用することが、より高い防御力を維持する秘訣です。

利点と注意点

ATT&CKの利点は多岐にわたります。第一に、世界中の実際の攻撃事例に基づいて設計されているため、実践的かつ信頼性が高い点が挙げられます。また、体系化されたマトリクスはチーム内の共通言語として機能し、意思決定の迅速化に寄与します。さらに、無料で公開されているため、中小企業などのリソースが限られた組織でも導入しやすいことも大きな魅力です。
一方で注意すべき点もあります。ATT&CKは過去の事例に基づいた「既知の攻撃」に強みを持つ一方、ゼロデイ攻撃や新しい攻撃手法には即時対応できないケースもあります。また、ATT&CK自体は「脅威の把握」を目的としたフレームワークであり、これ単独では防御機能を持たないため、EDRやSIEMといった検知・防御ソリューションと組み合わせた運用が不可欠です。

導入のポイント

近年、日本国内でもATT&CKを導入する企業や公共機関が増加しています。特に中規模企業にとっては、ATT&CKが無償で利用可能かつOSSとの親和性が高いことが導入を後押ししています。たとえば、オープンソースの可視化ツールや脅威ハンティングツールと組み合わせ、ATT&CKに沿った脅威分析やセキュリティ演習を行うケースが増えています。
また、ATT&CKはNIST CSF(サイバーセキュリティフレームワーク)やISO/IEC 27001など、既存の国際的な情報セキュリティ基準との連携もしやすいため、既存のISMS運用にATT&CKを組み込むことで、実践的な脅威対応力を補完する役割も果たします。

関連ソリューション