「MITRE ATT&CK」とは何か? どう利用すべきか?Gartner Insights Pickup(255)

MITREは、Gartnerがよく問い合わせを受けるトピックだ。本稿では、MITRE ATT&CKのフレームワークについて説明する。

» 2022年04月28日 05時00分 公開
[Pete Shoard, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 MITREについては、Gartnerがよく問い合わせを受けるトピックだが、セキュリティツールやサービスでの扱い方などに問題があるケースも見受けられる。本稿ではこうした問題の一部を取り上げる。MITREをご存じでない方のために、まず簡単に説明する。

MITREとは何か?

 MITREは基本的に、Lockheed Martinが2011年に発表した「キルチェーン」の考え方を詳細に体系化したもので、サイバー攻撃のパターンが論理的な流れとして合理的に整理されている。2013年に登場したMITRE ATT&CKフレームワーク(以下、ATT&CK)は普及に時間がかかったが、今ではほとんどのセキュリティモニタリングツールでモニタリング対象の分類の基盤となっている。

 ATT&CKでは、「エンタープライズ」と「モバイル」という2つのプラットフォーム別に、サイバー攻撃者の行動の目的や理由を「戦術」(Tactics)として分類した上で、個々の戦術ごとに、それらの目的を達成するための方法や技術を「テクニック」(Techniques)として定義し、テクニックを「サブテクニック」(Sub-techniques)としてさらに詳細に分類している。

 ATT&CKでは14の戦術が定義されており、テクニックとサブテクニックは随時追加されている。

 このフレームワークは、現在進行中の攻撃と、今後発生する可能性のある攻撃をきめ細かく分類する優れた方法を提供する。

 さらに、セキュリティ専門家がアイデアを発展させるための資料集となるよう、この分類の下でテクニックの詳細な説明を提供する。豊富な時例と改善のアドバイス集も用意されている。これらのことから、「ATT&CKは、攻撃者が秘密にしている日記の内容を忠実に伝えるものであり、セキュリティ対策能力のカバー範囲や完全性を測定する唯一の方法だ」と考えてしまうのも、無理はないだろう。

われわれは、ATT&CKをどのように利用しているか? なぜそれが間違いなのか?

 多くのプロバイダーや技術ベンダーが、ATT&CKに基づいてセキュリティソリューションの成熟度をスコア付けしたり、完全性をアピールしたりし始めている。これらは多くの場合、エンドユーザーに現状認識を誤らせる恐れがある。

 ソリューションの個々の機能について「ATT&CKの戦術やテクニック、サブテクニックをカバーしているため有効だ」とお墨付きを与えるのは、エンドユーザーに「この機能が対応している問題は解決したから別のことに目を向けよう」と思わせることになり、極めてたちが悪い。インシデントを見逃す原因となりやすい過信を助長するからだ。

 ATT&CKは、組織のセキュリティ対策能力について解釈のレイヤーを提供しているにすぎない。このことを理解することが重要だ。このフレームワークにより、組織の対策能力が欠けている分野が明らかになることもあるが、その場合、組織は行動する必要がある。

 ATT&CKは、セキュリティソリューションの完全性やカバー範囲を必ずしも保証しない。その例を次に示す。

例: ユーザーが、システムレベルのプロセスが注入されたかどうかを調べるメカニズムを、EDR(エンドポイント検知/対応)ソリューションで開発したとする(システムレベルのプロセスの注入はATT&CKでは「T1543」というIDを持つテクニックを指す)。その場合、このテクニックはカバーされたことになるが、データセンターやモバイルデバイスでEDRエージェントが運用されない可能性もある。

 つまり、このテクニックをカバーすることで、この攻撃手法の検知という課題はクリアしたと思っても、該当するモニタリングデータの収集や蓄積という運用が伴わなければ意味を成さない。ATT&CKのコンプライアンスは完全性を評価するものではない。

われわれは何をすべきか?

 ATT&CKのようなフレームワークを、効果的に活用する方法はシンプルだ。まず、ビジネスの観点から「組織にとってどのビジネスプロセスが重要か」「ATT&CKで説明されている攻撃行動の中で、それらのプロセスに影響を与える可能性があるものは存在するか」という問いを考える。次に、ATT&CKを使ってすべきことは、リスクの軽減やビジネスプロセスの保護であり、特定のテクニックへの対応ではない。

 ATT&CKのもう1つの重要な使い方は、組織のセキュリティ対策能力を測定することだ。例えば、「われわれはATT&CKのどの戦術について、問題の特定に最も成功しているか」「上流のテクニックに関しては、どうすれば対応を改善できるか」といった問いに答えを出すために利用できる。

 もちろん、そのためには、一貫した方法でセキュリティ問題を記録する必要がある。これにはおそらくITSM(ITサービスマネジメント)やケース管理システムの利用が考えられる。また、プロセスと検知内容を定期的に評価し、調整も必要になる。

 ATT&CKは、戦術やテクニックなどの分類に沿ってセキュリティオペレーションを分類し、そのセキュリティ対策能力を測定し、向上させる優れた方法だ。だが、魔法ではない。

 最も成功している組織は、他組織とのコミュニケーション、プロセスや成功の測定にこのフレームワークを役立てている。利用しているセキュリティソリューションがATT&CKのチェックリストをクリアしているからといって、注意深い運用を怠ってはならない。

出典:MITRE ATT&CK - does it do; what you need it to?(Gartner Blog Network)

筆者 Pete Shoard

VP Analyst


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。