「MITRE ATT＆CK」とは何か？ どう利用すべきか？：Gartner Insights Pickup（255）

MITREは、Gartnerがよく問い合わせを受けるトピックだ。本稿では、MITRE ATT＆CKのフレームワークについて説明する。

[Pete Shoard, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　MITREについては、Gartnerがよく問い合わせを受けるトピックだが、セキュリティツールやサービスでの扱い方などに問題があるケースも見受けられる。本稿ではこうした問題の一部を取り上げる。MITREをご存じでない方のために、まず簡単に説明する。

MITREとは何か？

　MITREは基本的に、Lockheed Martinが2011年に発表した「キルチェーン」の考え方を詳細に体系化したもので、サイバー攻撃のパターンが論理的な流れとして合理的に整理されている。2013年に登場したMITRE ATT＆CKフレームワーク（以下、ATT＆CK）は普及に時間がかかったが、今ではほとんどのセキュリティモニタリングツールでモニタリング対象の分類の基盤となっている。

　ATT＆CKでは、「エンタープライズ」と「モバイル」という2つのプラットフォーム別に、サイバー攻撃者の行動の目的や理由を「戦術」（Tactics）として分類した上で、個々の戦術ごとに、それらの目的を達成するための方法や技術を「テクニック」（Techniques）として定義し、テクニックを「サブテクニック」（Sub-techniques）としてさらに詳細に分類している。

　ATT＆CKでは14の戦術が定義されており、テクニックとサブテクニックは随時追加されている。

　このフレームワークは、現在進行中の攻撃と、今後発生する可能性のある攻撃をきめ細かく分類する優れた方法を提供する。

　さらに、セキュリティ専門家がアイデアを発展させるための資料集となるよう、この分類の下でテクニックの詳細な説明を提供する。豊富な時例と改善のアドバイス集も用意されている。これらのことから、「ATT＆CKは、攻撃者が秘密にしている日記の内容を忠実に伝えるものであり、セキュリティ対策能力のカバー範囲や完全性を測定する唯一の方法だ」と考えてしまうのも、無理はないだろう。

われわれは、ATT＆CKをどのように利用しているか？　なぜそれが間違いなのか？