Published Date: March 1, 2020
MITRE ATT&CK(マイターアタック)フレームワークとは、実際に観測された敵対的な戦術と技法に基づいてサイバー攻撃の振る舞いを分類した情報源を指します。このセキュリティフレームワークは、非営利組織のMITRE社が米国政府、産業界、学術機関と協力して2013年に作成し、攻撃の振る舞いを包括するナレッジベースとして一般に公開されています。
ATT&CK(アタック)は「Adversarial Tactics, Techniques and Common Knowledge (敵対的戦術、技法、共有知識)」の略で、ネットワークへのサイバー攻撃で一般的に使用される戦術、技法、手順(TTP)を体系化し、Windows、Linux、Mac、クラウド、モバイル環境ごとに敵対的な振る舞いをまとめた資料です。多くの組織が、攻撃と防御の両面から対策を検討して全体的なセキュリティ体制を強化するために利用しています。
ATT&CKフレームワークは、脅威を追跡または防御する上で、より的確に攻撃を分類し、攻撃者の行動を理解して、組織のリスクを評価するために役立ちます。また、このフレームワークを使用することで、さまざまなシナリオで攻撃者がどのように振る舞うかについてのインサイトを得ることができます。その知識を基にすれば、攻撃を検出して組織への影響を防ぐためのより効果的なセキュリティ戦略を立てることができます。
ATT&CKフレームワークは、攻撃者の振る舞いに関するインサイトを提供するという独自の役割と、標準化され簡単にアクセスできる世界共通の言語という性質から、脅威インテリジェンスを共有してセキュリティ体制を強化することを目指す組織の間で人気が高まっています。
この記事では、MITRE社のセキュリティに対するアプローチ、ATT&CKフレームワークの各種のコンポーネント、現状でのATT&CKの導入方法について説明します。
MITREセキュリティは、サイバー脅威インテリジェンスと一連のサイバーセキュリティリソースの両方を組み込んだ、MITRE社のコア能力です。MITRE社は、従来のサイバー防御のアプローチと、近年利用が広まっているサイバー脅威インテリジェンスを組み合わせて、進化する脅威に迅速に対応および適応するための包括的なセキュリティ体制を提唱しています。これらのリソースは、以下のようなサイバーセキュリティプログラムを構築するための基盤を提供します。
- セキュリティ意識向上とトレーニング:従業員向けのセキュリティ意識向上プログラム、技術トレーニング、学生向けの学習環境の基盤を提供します。
- 標準化:サイバーセキュリティ標準フレームワークを通じて、脅威情報を識別、分析、共有するための共通基盤を提供します。
- ツール:脅威を分析、検出し、対応するために役立つさまざまなオープンソースツールを提供します。
MITRE ATT&CKフレームワークでは、組織のサイバーセキュリティ体制を大幅に強化し、将来の攻撃が成功する確率を下げるために、さまざまな攻撃とその関連イベントに関する知識を取り込んだ、脅威に基づく防御戦略を採用しています。
MITRE社によると、脅威に基づく包括的な防御を構築するには次の3つの要素が重要です。
- サイバー脅威インテリジェンスの分析:これにより、サイバー防御を強化して、サイバー攻撃の予測、防止、検出、対応方法を改善するための実用的な情報と脅威検出シグネチャが得られます。
- 脅威に対する防御の取り組み:攻撃ライフサイクルの初期段階であれば、脅威を早期に検出して軽減することで攻撃が本格化するのを防ぐことができます。これを将来の攻撃を防止および検出するための重要な機会と捉えます。後の段階になると、インシデント対応などの受け身の手法で既存の脅威に対応する必要があります。
- 共有とコラボレーションの重視:MITRE社は、スポンサーや業界パートナーと協力して、サイバー脅威情報の共有、新しい概念の採用、サイバーセキュリティ体制の強化と意識向上に役立つソリューションの導入に取り組んでいます。
MITRE社は、米国連邦政府、州政府、地方自治体、幅広い業界および学界と連携して活動する非営利法人です。MITRE社自体は政府機関ではありませんが、科学的な研究と分析、開発と調達、エンジニアリングおよび統合システム面で米国政府を支援する独自の組織、FFRDC(連邦政府出資研究開発センター)を運営しています。
MITRE社は、AI、直感的なデータサイエンス、量子情報科学、健康情報学、宇宙セキュリティ、政策と経済の知識の蓄積、サイバー脅威の共有、サイバーレジリエンスなど、幅広い分野で革新的なアイデアの創出を手助けしています。
また、クライアント固有の問題に対処するためのテクノロジーの新たな活用方法を探求する独立した調査プログラムを運営し、独自の技術力によってさまざまな政府機関を支援しています。MITRE社が提供する主な情報には、システムエンジニアリング、信号処理と捕捉、サイバーセキュリティ、モバイルテクノロジー、ソーシャルソフトウェアなど、幅広い分野に及びます。
サイバー脅威モデリングは、サイバー環境での攻撃の脅威シナリオを開発および適用するプロセスです。サイバー脅威の標的は、デバイスからアプリケーション、システム、ネットワーク、組織、ビジネスクリティカルなミッションまで多岐に及びます。脅威モデリングは、これらのプラットフォームや環境が実際の状況でどのように攻撃を受けるかを明確にモデリングして、脆弱性やその他の弱点を特定するために役立ちます。
サイバー脅威モデリングプロセスは、以下のような、サイバーセキュリティおよびレジリエンス戦略のさまざまな側面で利用されます。
- サイバー脅威インテリジェンスの分析:これにより、サイバー防御を強化して、サイバー攻撃の予測、防止、検出、対応方法を改善するための実用的な情報と脅威検出シグネチャが得られます。
- 脅威に対する防御の取り組み:攻撃ライフサイクルの初期段階であれば、脅威を早期に検出して軽減することで攻撃が本格化するのを防ぐことができます。これを将来の攻撃を防止および検出するための重要な機会と捉えます。後の段階になると、インシデント対応などの受け身の手法で既存の脅威に対応する必要があります。
- 共有とコラボレーションの重視:MITRE社は、スポンサーや業界パートナーと協力して、サイバー脅威情報の共有、新しい概念の採用、サイバーセキュリティ体制の強化と意識向上に役立つソリューションの導入に取り組んでいます。
Lockheed Martin社が「サイバーキルチェーン」の呼び名で初めて明確化したサイバー攻撃ライフサイクルは、サイバー攻撃の各種のフェーズを表しています。MITRE社独自のサイバー攻撃ライフサイクルは、前述の「脅威に基づく防御」において脅威の早期検出と対応の実現性を高めるための重要な要素です。
MITRE社が定義するサイバー攻撃のフェーズには以下の6つがあります。
- 偵察:標的に応じた戦略を立てます。
- 武器化:サイバー兵器を開発し、それを標的に送り込むための最適な方法を判断します。
- 配送:標的のシステムにサイバー兵器を送り込みます。
- 攻撃:脆弱性を突いて標的のシステムにマルウェアをインストールし、有効化します。
- コントロール:初期の標的を操作して、組織内を偵察します。
- 実行:計画を実行して目的を達成します(データを盗み出すなど)。
- 潜伏:標的のシステムやネットワークに長期間潜伏するための準備をします(侵入の痕跡を消すなど)。
組織の防御ツールや能力と、このサイバー攻撃ライフサイクルをマッピングすることで、セキュリティアーキテクチャのギャップをより適切に特定し、セキュリティ防御を強化するためのより効果的な投資を行うことができます。
サイバーセキュリティフレームワークは、リスクを管理し、脆弱性の露出を減らして、潜在的な脅威からデータを守るための最善のセキュリティプラクティスを定義する、一連の標準と手順をまとめた文書です。 業界や規模を問わず、重要なシステムとデータを常に安全に保つのは難しいことです。そのため、多くの組織がサイバーセキュリティフレームワークをガイダンスとして活用しています。サイバーセキュリティフレームワークは、重要なデータとインフラの保護方法についてできるだけ勘に頼らずに済むように、さまざまな課題を想定した、包括的で標準化されたセキュリティ計画を提供します。多くの場合、組織は既存のサイバーセキュリティフレームワークを調整することで独自のニーズやコンプライアンス要件に対応できます。
ATT&CKフレームワークは、セキュリティチームが行う日常の防御対策に使用でき、特に攻撃者とその攻撃手法を理解するために役立ちます。敵対的な振る舞いについて攻撃側と防御側に共通の言語と参照フレームを提供するため、レッドチームとブルーチームのどちらも幅広く利用できます。
レッドチーム(サイバー防御対策を評価するために定期的に侵入テストを行うテスターや攻撃専門のセキュリティチーム)は、MITRE ATT&CKフレームワークに従って、ATT&CKで文書化された敵対的な振る舞いを模倣してネットワークのセキュリティ対策をテストできます。予測される攻撃についての既存の方法論を強化する手段としてATT&CKを使用すれば、より簡単に脅威を予測し、パターンを検出して、環境内の防御ツールの有効性を評価できます。
一方、ブルーチーム(内部ネットワークのセキュリティを管理してサイバー脅威から保護する、防御専門のセキュリティチーム)がATT&CKフレームワークを使用すれば、攻撃者の振る舞いをより深く理解し、深刻度に基づいて脅威の優先順位を判断して、適切なセキュリティ対策が導入され効果を発揮しているかどうかを確認することができます。
ATT&CKの分類法は以下のようなさまざまな用途に利用できます。
- 防御対策のマッピング:ATT&CKの戦術および技法と、対処すべき脅威を対応付けることで、防御のためのツール、体制、戦略を明確に理解できます。
- 脅威ハンティング:防御対策をATT&CKとマッピングすることで、セキュリティインフラの重大なギャップを特定し、以前は見落としていた脅威の検出に役立てることができます。
- 調査:インシデント対応チームとブルーチームは、ATT&CKの戦術と技法を参照することで、現在のセキュリティインフラの強みと弱みを理解し、効果的な対策を検証すると同時に、設定ミスなどの運用の不備を発見できます。
- 攻撃者や攻撃グループの特定:特定の攻撃者や攻撃グループとATT&CKで示された振る舞いを関連付けることができます。
- ソリューションの統合:異なる多数のツールやソリューションを使用している場合は、ATT&CKフレームワークに従ってソリューションを分類および標準化することで、全体的な防御戦略を強化できます。
ATT&CKフレームワークは何年も前から存在しますが、簡単にアクセスでき誰にでも理解できる共通の標準言語として組織、政府機関、個人が脅威インテリジェンスの共有に広く利用するようになったのは最近のことです。普及が拡大した大きな要因の1つは、ATT&CKフレームワークがシステムを攻撃する攻撃者の振る舞いについて、あらゆる環境を網羅した詳細な分類を提供する点にあります。
他のセキュリティフレームワークは、特定の業界やユーザーを対象とし、ニーズやコンプライアンス要件に応じて推奨事項が異なります。一般的なサイバーセキュリティフレームワークには以下のものがあります。
- NISTサイバーセキュリティフレームワーク:サイバーセキュリティ体制の強化を目指す組織向けにNIST (国立標準技術研究所)が作成した、汎用的なセキュリティフレームワークです。コスト効果と柔軟性が高いこのフレームワークでは、サイバーセキュリティリスクに対処してセキュリティインフラを維持する方法として、攻撃の特定、防御、検知、対応、復旧の5段階のプロセスが提唱されています。
- NIST SP 800-53:NISTが作成したNIST SP 800-53には、米国連邦政府の大半の情報システムとそれらを利用またはサポートするすべての組織に適用されるセキュリティ要件がまとめられています。このフレームワークは、政府機関とその委託企業のセキュリティ体制を強化するための方法を明確化することで、政府内のネットワークで管理される機密データや重要データを保護することを目的としています。
- HITRUST:ヘルスケア組織のHITRUST (Health Information Trust Alliance)が作成した共通セキュリティフレームワーク(CSF)は、移動および保存時に保護されるべき医療データを管理する情報システムを対象としています。このフレームワークでは、医療情報を保護してHIPAAなどの規制要件を遵守するための具体的なガイダンスが提供されます。
- ISO 27000シリーズ:ISO (国際標準化機構)とIEC (国際電気標準会議)が作成したこの基準は、情報セキュリティ管理システムで最高レベルのサイバーセキュリティ対策を維持することを目的としています。このフレームワークにはさまざまな発行資料が含まれ、セキュリティコントロールからガイドラインまで、効果的なIT運用管理に関するあらゆる情報を網羅しています。
- NERC 1300:NERC (北米電力信頼度協議会)が作成したこの一連の基準では、特に、パッチ管理のベストプラクティス、適切なネットワークセキュリティ機構、システムの継続性に重点が置かれています。このフレームワークは、広範囲にわたる停電やシステム障害のリスクを軽減する手段を提唱し、重要なシステムを保護することを目的としています。
- ANSI/ISA 62443:ISA (国際計測制御学会)とANSI (米国国家規格協会)が作成した、IACS (産業用オートメーションおよび制御システム)向けのこのセキュリティフレームワークは、消費者市場と製造分野の両方でIoTが急成長を続ける現代において注目が高まっています。このフレームワークは、全般、コンポーネント、システム、ポリシーと手順の4つのカテゴリで構成され、IoT機器と一般消費者向け製品の認証も提供しています。
この2つのフレームワークの最も大きな違いは、サイバーキルチェーンが統合的なセキュリティ戦略の概略を提供するのに対して、MITRE ATT&CK frameworkフレームワークは特定の攻撃パターンや攻撃手順を示すのではなく戦術と技法を包括的に提供する点です。
どちらのフレームワークでも、攻撃者がネットワークに侵入し、検出を回避して、最終的に資産を盗み出すという全体的なパターンは同じです。ただし、ATT&CKのシナリオでは、たとえば、「初回アクセス」の技法から開始して、さまざまな方法で「資格情報によるアクセス」に移動し、「防御回避」の技法で痕跡を消してから、「実行」フェーズに戻るということが可能です。
これに対して、サイバーキルチェーンでは、攻撃者が偵察から侵入以降のフェーズを所定の順序で進むことを前提に一連のイベントを具体化しています。また、サイバーキルチェーンはATT&CKと比べてやや短い点も異なります。
ATT&CKは、セキュリティチームの規模や成熟度に関係なく、脅威に関する知識を高め、情報に基づいてより効果的な防御体制を構築するために役立ちます。MITRE社が提供する関連資料は無償で入手できますが、組織固有のニーズに合わせてフレームワークを適用するために支援が必要な場合は、さまざまなコンサルタントやベンダーが提供するサービスを利用することもできます。
セキュリティチームが小規模で、脅威インテリジェンスに関する能力を高めたい場合は、ATT&CKで侵入アクティビティに基づいてまとめられた関連グループの中から、自組織に関連するグループとその攻撃技法に的を絞るとよいでしょう。
セキュリティチームの中に脅威情報を定期的に分析する担当者がいる場合は、既存のマッピングに頼らず独自に脅威インテリジェンスをATT&CKフレームワークとマッピングすることから始めることができます。
セキュリティチームが高度なスキルを持つ場合は、より多くの情報をATT&CKとマッピングし、その結果に基づいてサイバー防御を強化できます。インシデント対応、リアルタイムアラート、社内の履歴データなど、内部情報と外部情報の両方をATT&CKとマッピングできます。データをマッピングしたら、グループを比較したり、よく使用される技法に優先順位を付けたりして、対策を練ることができます。
脅威情報に基づいてより効果的なセキュリティ戦略を構築
多くの組織は、悪用される可能性のある脆弱性について警告してマルウェアなどの脅威を阻止するセキュリティ製品を導入するなど、従来からある防御手段に頼っています。これらのアプローチは一部の領域では効果的ですが、限界があります。大きな問題点の1つは、攻撃者がネットワーク内に侵入した後、どのような攻撃を行っているかを把握できないことです。ATT&CKのような包括的なフレームワークで体系化されたサイバー脅威インテリジェンスを活用すれば、攻撃者の手口を理解してその目的を読み取り、適切な情報に基づいて、大きな被害をもたらす標的型攻撃を未然に防ぐための的確な判断ができるようになります。
