MITRE ATT&CK徹底活用――クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分け：MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門（5）

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解説する連載。今回は、クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分けなどを紹介する。

[戸田勝之, 永澤貢平，NTTデータ先端技術株式会社]

　ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック。以下、ATT&CK）について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回は、MITRE ATT&CK（以下、ATT&CK）を使って特定のランサムウェアを想定してテクニックや対策などを導出する方法を紹介しました。

　今回でいよいよ最終回です。クラウドサービスを例にしてATT&CKにおいてプラットフォームが変わることによって、ATT&CKの利用方法がどう変わるのかを見ていきたいと思います。また、今回はATT&CKのメリットだけでなく、その利用における注意点についても解説します。

MITRE ATT&CKにおけるクラウドセキュリティ

ATT&CKがカバーするクラウドサービス

　ATT&CKがカバーするプラットフォームについては、連載第1回の表2でも紹介していますが、改めてクラウドサービスについて見ていきましょう。

　ATT&CKがカバーするクラウドサービスは、ATT＆CKバージョン11（2022年4月25日更新）では、「Microsoft 365」「Azure Active Directory」（Azure AD）、「Google Workspace」、SaaS（Software as a Service）、IaaS（Infrastructure as a Service）となっています。

図1　ATT&CK（バージョン11）がカバーするクラウドサービス

　SaaSはクラウドサービスのカテゴリ一の総称なので特定のサービスに限定しているわけではありませんが、例えば、「Salesforce」「Dropbox」「Slack」などが挙げられると思います。実はMicrosoft 365やGoogle WorkspaceもSaaSの一種と考えられますが、知名度の高いグループウェアとして個別に分類されていると思われます。

　IaaSもクラウドサービスのカテゴリ一の総称ですが、もともと過去のATT&CKでは3大クラウドの「Amazon Web Services」（AWS）、「Microsoft Azure」「Google Cloud Platform」（GCP）がそれぞれ独立して登録されていて、2021年4月にこれらがIaaSとして統合されました。

　Azure ADはAzureの一機能であり、PaaS（Platform as a Service）に近いのですが、認証やID管理、クラウド連携といったセキュリティ上重要性の高い機能を担うことから個別に分類されていると考えられます。

クラウドサービスに対するテクニック

　ATT&CK（バージョン11）における攻撃手法の総数は、テクニックが191、サブテクニックが385です。このうち、上記クラウドサービスに関するものは、テクニックが50、サブテクニックが50です。これらは、初期アクセス（Initial Access）から影響（Impact）までの全ての戦術にまたがって存在しています。

　また、それらの中で名称に「cloud」が含まれているものは、テクニック8、サブテクニック13です（テクニックにひも付くサブテクニックも含みます）。これらはおおむねクラウドサービス特有の攻撃手法と見ていいでしょう。

図2　名称に“cloud”が含まれるテクニック／サブテクニック

クラウドサービスごとのテクニックの違い