MITRE ATT&CKフレームワークとは

MITRE ATT&CKフレームワークの構造

MITRE ATT&CKフレームワークの中核的な機能は、攻撃者の行動を明確かつ体系的な段階に分類することであり、セキュリティ担当者はこれを重大な脆弱性の特定と対処に役立てることができます。フレームワークの構造は複数のマトリクスに分かれており、それぞれ攻撃者の行動の異なる範囲に対応しています。各マトリクスはさらに細分化され、攻撃者の行動をモジュールとして把握できるようになっています。

エンタープライズ マトリクス

エンタープライズ マトリクスは、Windows、macOS、Linux、クラウド環境などの従来のITネットワークに対して用いられる戦術に焦点を当てています。各戦術は権限昇格や実行などの包括的な目標を表しており、その下にある技術は攻撃者がその目標を達成するための手段を示しています。検出されたアクティビティーをこれらの技術にマッピングすることで、脅威アクターが標的のシステムをどのように悪用しようとしているのかについて有益なインサイトを得ることができます。

モバイル マトリクス

スマートフォンやタブレットには大量の機密データが保存されています。そのため、モバイル マトリクスでは、これらのデバイスを標的とした攻撃に特有の手法について詳しく説明しています。このセクションでは、悪意のあるアプリ、構成の悪用、ネットワーク経由の侵入など、さまざまな攻撃ベクトルが取り上げられています。このマトリクスにより、セキュリティ部門はモバイル オペレーティング システムの特性に対応したサイバーセキュリティ戦略を策定できます。

ICSマトリクス

産業用制御システム(ICS)がリスクにさらされると、その影響はデータ侵害だけにとどまらず、製造プロセスや公共インフラの機能停止にまで発展する可能性があります。ICSマトリクスでは、エネルギー、輸送、その他の重要なセクターに関連するインフラの侵害手法について説明しています。ICS特有の手口を特定することで、侵害によって発生する物理的な影響に対応した堅牢なセキュリティ制御を推進できます。

戦術、技術、手順(TTP)

戦術は攻撃の「理由」(例：初期アクセスのため)、技術は「手段」(例：スピア フィッシングや設定ミスの悪用)、手順は具体的な実例を示します。これらの要素を組み合わせることで、セキュリティ部門は攻撃について共有の言語で議論し、防御が必要な領域(エンタープライズ、モバイル、ICS)に関する脅威インテリジェンスのマッピングを効果的に行えます。

MITRE ATT&CKフレームワークがサイバーセキュリティ防御に役立つ理由

MITRE ATT&CKフレームワークは、攻撃者の行動リストを提供するだけでなく、継続的な監視と警戒を促進します。脅威は急速に進化するため、攻撃者が組織の環境に侵入する方法や環境内を移動する方法を知ることで、狙われる可能性の高い脆弱性の検出に集中できます。過去の侵入から得たインテリジェンスを新たなデータと組み合わせることで、セキュリティ担当者は戦略をリアル タイムで改善できます。

また、TTPの包括的なマッピングを武器に、外部アタック サーフェス管理を導入することも可能です。この戦略では、公開されているすべてのシステムやアプリケーションを調査し、攻撃者の侵入口となり得る弱点がないかを確認します。最終的に、このような弱点を把握することで、防御者は不確かな推測やその場しのぎの修正に頼ることなく特定の制御を構成または強化できるようになります。

十分な情報に基づいたセキュリティ態勢を構築するには、新たな脅威に関する情報収集も必要です。MITRE ATT&CKフレームワークは、一般的な技術と新たな技術の両方を網羅しているため、これを活用することで、アナリストは疑わしいアクティビティーをより迅速に認識して分類できます。結果として、フィッシング、マルウェア インジェクション、ゼロデイ エクスプロイトなどの高度なキャンペーンによる攻撃の試みがあった際、組織はコンテキストを伴った知識を通じて効果的な対応を行えるようになります。

MITRE ATT&CKフレームワークを活用するメリット

MITRE ATT&CKフレームワークの活用には、攻撃者の手口を可視化できるという点で明らかなメリットがあります。また、標準化された用語に基づいて組織のツール、プロセス、担当部門を統一し、インシデント対応を合理化するとともに、徹底した防御を推進できます。結果として、以下のようなメリットを得られます。

• 脅威検出の強化：攻撃者の行動を実際の技術にマッピングすることで、セキュリティ部門は悪意のある行動をより迅速に特定できます。
• セキュリティ投資の優先順位付け：実際のTTPに合わせることで、リソースを最も効果的に割り当てるための指針が得られます。
• 連携の改善：組織内の担当部門や業界パートナー間で共通の言語を持つことで混乱が減少し、迅速かつ協調的な対応が可能になります。
• 情報に基づいたパッチ管理：悪用されることの多い欠陥に対してサイバー脅威インテリジェンスを活用することで、攻撃が成功するリスクを軽減できます。

MITRE ATT&CKマトリクスのユース ケース

MITRE ATT&CKマトリクスを活用することで、組織はあらゆる実用的なユース ケースでサイバーセキュリティ態勢を強化し、脅威管理を合理化できます。特に効果的なユース ケースには以下のようなものがあります。

• 脅威インテリジェンスの統合：内部および外部の脅威インテリジェンスをMITRE ATT&CKの技術に沿った形で調整することで、脅威をコンテキスト化し、新たな攻撃パターンに効果的に対応できます。
• インシデント対応の最適化：MITRE ATT&CKマトリクスを活用することで、セキュリティ部門は攻撃者の行動を迅速に特定し、実際の技術に基づいて封じ込めと修復の措置に優先順位を付けることができます。
• セキュリティ制御の評価：既存の防御をMITRE ATT&CKの技術にマッピングすることで、防御範囲のギャップを特定し、重大な脆弱性に対処するテクノロジーに戦略的に投資できます。
• レッド チーム演習とペネトレーション テスト：MITRE ATT&CKをレッド チーム演習の指針として適用することで、攻撃者のリアルな行動シナリオを取り入れ、潜在的な攻撃者の行動を評価に正確に反映し、防御を検証できます。

MITRE ATT&CKフレームワークの課題と限界

MITRE ATT&CKは有益なフレームワークであるものの、考えられるすべてのサイバー攻撃シナリオに対して有効なわけではありません。責任を持って導入するには、慎重な計画を立てるとともに、内在する以下のような弱点を認識しておく必要があります。

• 複雑な導入：環境全体をフレームワークにマッピングすることは、セキュリティを担当する人員が限られている組織にとって、大きな時間的負担となる可能性があります。
• 継続的なメンテナンス：攻撃者は常に新たな戦術を開発しているため、フレームワークを更新し、担当部門に対しては定期的なトレーニングを実施する必要があります。
• 既知の脅威が偏重される可能性：新たなエクスプロイト戦略は、必ずしも既存の分類に一致するとは限りません。
• リソースの制約：技術データを収集して包括的にマッピングする場合、予算や人員が限られる小規模な組織にとって負担となる可能性があります。
• コンテキストのギャップ：TTPは攻撃手法についてのインサイトを提供するものの、より広範な動機や標的の環境に対する影響は明示されていない場合もあります。

MITRE ATT&CKフレームワークを導入する方法

MITRE ATT&CKフレームワークを活用して強固な基盤を構築するには、慎重な計画、トレーニング、組織全体での連携が必要です。MITRE ATT&CKの採用を形式的な作業で終わらせず、組織のセキュリティ フレームワーク全体の中で有意義な要素として機能させるためのステップは以下のとおりです。

1. 現在のセキュリティ態勢の評価：まずは、既存の防御のギャップを特定することから始めます。プロセス、ツール、関連データを徹底的に見直し、フレームワーク活用することで大幅に改善できる領域を明らかにします。
2. 既知の脅威のATT&CKへのマッピング：過去のインシデントを分析し、攻撃者の行動を認知されているTTPにマッピングします。これによって、環境内で最も頻繁に攻撃が成功しているベクトルと至急改善が必要なセキュリティ制御を明らかにします。
3. 監視とアラートの構成：脅威検出ツールを導入または改善し、MITRE ATT&CKの技術に合致するパターンを認識できるようにします。ネットワーク トラフィックとエンドポイント データの継続的な検査によって、疑わしいアクティビティーが発生した際にタイムリーな通知を受けられます。
4. 組織全体でのトレーニングの提供：目標は共通理解を持つことが目標です。セキュリティ部門だけでなく、コンプライアンス、アクセス制御、IT運用をサポートする他の部門ともフレームワークの詳細を共有します。
5. 反復と更新：新たな脅威が表面化したり、アーキテクチャーに変更があったりした場合は、フレームワークのマッピングやプロセスを更新し、効果的な防御範囲を維持します。定期的な再評価により、サイバーセキュリティ プログラムを内部の変化と外部の脅威の両方に対応させることができます。

アイデンティティーを中心としたゼロトラスト サイバーセキュリティにおけるMITRE ATT&CKの役割

デジタル環境の変化と多様化に伴い、ゼロトラスト サイバーセキュリティ モデルの概念が急速に注目を集めています。従来のオフィスの外で働く従業員が増加するなか、組織はオンプレミス サーバー、クラウド環境、SaaSソリューションなど、あらゆる場所に存在するデータの保護を迫られています。攻撃者の手口に関する詳細な分析を提供するMITRE ATT&CKフレームワークは、まさにこのニーズに対応するものであり、アイデンティティーに基づく正確なセキュリティ制御の施行を支援します。

ゼロトラストのアプローチでは、許可されていないユーザーを境界でブロックするだけでは不十分と考え、ネットワーク内で通信を試みるすべてのエンドポイントやアカウントからのリクエストをそれぞれ継続的に検証することが求められます。MITRE ATT&CKの戦術、技術、手順をゼロトラスト戦略に統合することで、サイバーセキュリティ部門は疑わしい行動が深刻化する前に特定できます。MITRE ATT&CKフレームワークは、攻撃者がシステム内の移動に用いる一般的な手口も示すため、ラテラル ムーブメントや特権アクセスの悪用などの攻撃手法をより迅速に認識できるようになります。

アイデンティティーを中心としたアプローチでは、MITRE ATT&CKのナレッジ ベースから得られるインサイトを活用することで、潜在的な脅威が出現した時点で追跡を開始し、検出ルールの改善や防御の調整を通じて不正な動きを阻止します。その後、セキュリティ運用部門はエンドポイントの検出や行動分析などの高度なツールを調整し、実際の攻撃のTTPに合わせた最適化を行うことが可能です。同様に、MITRE ATT&CKの視点を取り入れた継続的な監視を実装することで、アイデンティティーの検証、デバイス ポスチャー、トランザクションの検証の間に存在するあらゆるギャップを埋め、不審なアクティビティーの見落としを防ぎます。

ZscalerによるMITRE ATT&CKへのマッピングのサポート

Zscaler Cloud Sandboxは、攻撃チェーンの複数の段階にわたって回避型のマルウェアを検出および分析することで、MITRE ATT&CKフレームワークに直接マッピングを行います。初期アクセス(スピア フィッシングの添付ファイルなど)から実行(悪意のあるファイルの動作)、コマンド＆コントロール(ビーコンの送信)まで、Zscalerが振る舞いを観察してMITRE ATT&CKの技術にマッピングし、脅威情報に基づいた迅速な検知と対応を可能にします。これによって以下のことが実現します。

• ゼロデイ脅威の即時ブロック：マルウェアと高度な脅威をインラインで(AI活用型の即時判定も使用して)検出し、ファイルベースの未知の脅威を阻止します。
• セキュリティの強化と生産性の維持：Zero Trust Browser Isolationとサンドボックス機能を統合することで、脅威を自動的に検出して隔離し、ユーザーの生産性を維持しながらセキュリティを最大化します。
• SOCワークフローの最適化：アウトオブバンドでのファイル分析、サードパーティーの脅威検出ツール、パッチが適用されていないVMとパッチが適用されたVMの両方を使用したマルウェア分析をSOCワークフローにシームレスに統合することで、効果的な脅威の検出と調査を可能にします。
• 簡単な導入とグローバルな拡張：コストを削減し、古いハードウェアやソフトウェアにかかる労力を軽減します。シンプルなポリシー構成により、すぐに価値が実現し、強力なROIが促進されて戦略的な成長が可能になります。

デモを依頼して、Zscalerで組織の防御を最も重要な脅威にマッピングする方法をご確認ください。