MITRE ATT&CKとは?仕組みや特徴、活用の事例を解説
「MITRE ATT&CKという言葉は聞いたことがあるけれど、実際に何をするものかよくわからない」という方は多いのではないでしょうか。
MITRE ATT&CKとは、世界中の実際のサイバー攻撃事例をもとに、攻撃者の手口をまとめた「攻撃手口の辞書」のようなフレームワークです。
本記事では、MITRE ATT&CKの基本的な仕組みから具体的な活用方法まで、専門知識がなくてもわかるようにやさしく解説します。
目次
[ 開く ]
[ 閉じる ]
- MITRE ATT&CKとは?
- MITRE ATT&CKの歴史と成り立ち
- MITRE ATT&CKの4つの構成要素
- 1.Tactics(タクティクス:戦術)
- 2.Techniques(テクニック:技術)
- 3.Sub-techniques(サブテクニック)
- 4.Procedures(プロシジャー:手順)
- ATT&CKマトリクスの見方と使い方
- MITRE ATT&CKが注目される5つのメリット
- 1.脅威インテリジェンスの強化
- 2.インシデント対応能力の向上
- 3.セキュリティ対策の優先順位付け
- 4.SOCやセキュリティチームの共通言語化
- 5.組織のセキュリティ成熟度の評価
- MITRE ATT&CKの6つの活用事例
- 1.攻撃者のエミュレーション(レッドチーム演習)
- 2.防御ギャップアセスメント
- 3.脅威ハンティングへの応用
- 4.SOC成熟度の評価と改善
- 5.リスク評価と戦略策定
- 6.セキュリティ教育とトレーニング
- MITRE ATT&CKを導入する際の3つの課題と対策
- 1.情報量が多く、自社に必要な部分を絞り込みにくい
- 2.最新の脅威情報へのキャッチアップが負担になる
- 3.運用リソースが不足しがちである
- MITRE ATT&CKとサイバーキルチェーンの違い
- まとめ
MITRE ATT&CKとは?
MITRE ATT&CK(マイターアタック)とは、世界中で実際に起きたサイバー攻撃をもとに、攻撃者がどんな手口を使うかをまとめた「攻撃手口の辞書」のようなものです。正式名称は「Adversarial Tactics, Techniques, and Common Knowledge」の略で、日本語にすると「攻撃者の戦術・技術・共通知識」という意味になります。
このフレームワークを作ったのは、米国の非営利研究機関「MITRE(マイター)コーポレーション」です。誰でも無料で使えるよう公開されており、世界中の企業や政府機関がセキュリティ対策の参考として利用しています。
「攻撃者がどのように動くか」を具体的にまとめているため、守る側が攻撃者の視点でセキュリティ対策を見直すことができます。「なんとなく対策している」状態から、「何を・なぜ・どう守るか」を明確にするための道具として活用できます。
参考:MITRE「MITRE ATT&CK®」
MITRE ATT&CKの歴史と成り立ち
MITRE ATT&CKは2013年、MITREコーポレーションが「攻撃者の行動を体系的に記録しよう」という目的で研究を始めたことがきっかけです。最初は内部の研究プロジェクトでしたが、2015年に一般公開され、その後、世界中のセキュリティの専門家に急速に広まりました。
公開後も企業や研究者からの意見を取り入れながら定期的にアップデートが続けられており、内容は年々充実しています。現在は通常のパソコン・サーバー環境だけでなく、スマートフォンや工場の制御システムに対する攻撃手口も収録されています。
世界中で使われるようになった理由は、「実際の攻撃事例をベースにしている」という信頼性の高さと、無料で誰でも使える点にあります。いまでは多くのセキュリティ製品やサービスの評価基準としても使われており、業界の共通言語となっています。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
参考:Picus Security「MITRE ATT&CK Framework Guide for Beginners」
MITRE ATT&CKの4つの構成要素
MITRE ATT&CKは4つの要素で成り立っています。それぞれの役割を知ることで、フレームワークの全体像がつかみやすくなります。
- Tactics(タクティクス:戦術)
- Techniques(テクニック:技術)
- Sub-techniques(サブテクニック)
- Procedures(プロシジャー:手順)
それぞれ詳しく見ていきましょう。
1.Tactics(タクティクス:戦術)
Tacticsとは、攻撃者が「何を目的として動いているか」を示す大きな分類のことです。たとえば「情報を盗み出す」「システムに侵入する」「気づかれないようにする」といった、攻撃の目的ごとに14の項目が定義されています。
戦術は、いわば「攻撃者がやりたいことのリスト」です。自社の対策がどの目的への攻撃に対応できているかを確認することで、どこを優先して強化すべきかがわかります。
参考:Palo Alto Networks「What Is MITRE ATT&CK Framework?」
2.Techniques(テクニック:技術)
Techniquesとは、攻撃者が目的を達成するために使う「具体的な手口」のことです。たとえば「メールに悪意あるファイルを添付して送りつける」「偽のWebサイトに誘導してパスワードを盗む」といった手法が、200種類以上にわたって登録されています。
各テクニックには、手口の説明だけでなく「どうすれば検知できるか」「どう防げばよいか」も一緒に記載されているため、対策を考える際にとても役立ちます。
3.Sub-techniques(サブテクニック)
Sub-techniquesとは、テクニックをさらに細かく分けたものです。たとえば「フィッシング」というテクニックの中にも、「添付ファイル型」「URLリンク型」「SNS経由型」など、複数の手口があります。これをさらに細かく分類したものがサブテクニックです。
細かい手口まで把握しておくことで、より的確な対策を打てるようになります。最初はテクニックレベルで理解し、慣れてきたらサブテクニックまで見ていくのがおすすめです。
参考:Exabeam「What is MITRE ATT&CK®: An Explainer」
4.Procedures(プロシジャー:手順)
Proceduresとは、実際にどの攻撃グループやウイルスが、どのテクニックをどのように使ったかという「実例記録」です。「ATT&CK」の末尾「CK(Common Knowledge:共通知識)」はこの記録に相当します。
たとえば「○○という攻撃グループが、過去にこのような手口で企業に侵入した」という具体的な記録が積み重ねられています。自社の業界を狙ってきた攻撃グループの手口を事前に調べておくことで、より的を絞った備えができます。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
ATT&CKマトリクスの見方と使い方
ATT&CKマトリクスとは、攻撃の目的(戦術)とその手口(テクニック)を一覧にした表のことです。横に14の攻撃目的が並び、それぞれの下にどんな手口が使われるかがまとめられています。表を左から右に見ていくと、攻撃者が侵入してから目的を達成するまでの流れをたどることができます。
マトリクスは環境ごとに3種類が用意されています。
| マトリクス名 | 対象環境 |
|---|---|
| ATT&CK for Enterprise | Windows・macOS・Linux・クラウド・ネットワーク機器など(多くの企業が対象) |
| ATT&CK for Mobile | iOS・Android などのスマートフォン・タブレット |
| ATT&CK for ICS | 工場・インフラなどの制御システム |
マトリクスはMITRE ATT&CK公式サイトから誰でも無料で確認できます。
参考:MITRE「MITRE ATT&CK®(マトリクス)」
参考:TechTarget「What is the Mitre ATT&CK Framework?」
MITRE ATT&CKが注目される5つのメリット
MITRE ATT&CKが多くの企業・組織に活用されているのは、セキュリティ対策の現場で役立つ具体的なメリットがあるからです。主なメリットは以下の5つです。
- 「どんな攻撃が来るか」を事前に把握できる
- 問題が起きたときに素早く対応できる
- 限られた予算で優先順位をつけて対策できる
- 社内外で同じ言葉で話せるようになる
- 自社のセキュリティレベルを客観的に測れる
それぞれ詳しく見ていきましょう。
1.脅威インテリジェンスの強化
MITRE ATT&CKには、世界中で確認された攻撃グループの手口が蓄積されています。たとえば「この業界を狙うことが多いグループは、どんな手口を使うか」という情報をあらかじめ調べておくことができます。
「どんな攻撃が来るかわからない」という漠然とした不安から抜け出し、根拠を持って対策を立てられるようになることが、このメリットの本質です。守りをただ強化するのではなく、「何から守るか」を絞り込む手がかりになります。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
2.インシデント対応能力の向上
万が一、社内でセキュリティの問題が発生したとき、ATT&CKを使うと「これは攻撃のどの段階か」「次に何が起こりえるか」を素早く判断する手助けになります。たとえば不審な動作を検知した際、ATT&CKの手口と照らし合わせることで、次に狙われそうな箇所への備えをすぐに始められます。
あらかじめATT&CKをもとに対応手順を作っておくと、担当者が変わっても同じ水準で対応できます。
参考:Exabeam「What is MITRE ATT&CK®: An Explainer」
3.セキュリティ対策の優先順位付け
ATT&CKには200種類以上の攻撃手口がありますが、そのすべてに一度に対応しようとするのは現実的ではありません。ATT&CKを活用することで、自社の業種や使っているシステムに合わせて「まず対策すべき手口」を絞り込めます。
限られた予算・人員で最大限の効果を出すために、「何に集中して投資するか」を決める判断材料としてATT&CKを使うことができます。
参考:Palo Alto Networks「What Is MITRE ATT&CK Framework?」
4.SOCやセキュリティチームの共通言語化
セキュリティの対応では、社内の担当者・外部のセキュリティ会社・製品ベンダーなど、複数の組織が関わることがよくあります。そのような場合、ATT&CKの手口の名称や番号(例:「T1566 フィッシング」)を使うことで、同じ意味を正確に素早く伝えられます。
共通の言葉を持つことで、問題が起きたときの報告や連絡がスムーズになり、対応のスピードが上がります。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
5.組織のセキュリティ成熟度の評価
ATT&CKのマトリクスを使うと、「自社は攻撃手口のうち、どれくらいに対応できているか」を可視化できます。たとえば「200種類のうち80種類に対応できている」といった形で現状を数値化することが可能です。
この情報は経営層に現状を説明したり、来期のセキュリティ投資の方向性を検討したりする際の根拠としても活用できます。
MITRE ATT&CKの6つの活用事例
ここでは、企業の現場でよく見られる6つの活用場面を紹介します。自社の状況に近いものから取り入れてみてください。
- 攻撃者の手口を模した訓練(レッドチーム演習)
- 対策の抜け漏れを確認する(防御ギャップアセスメント)
- 侵害の痕跡を能動的に探す(脅威ハンティング)
- 監視・対応体制のレベルを測る
- 経営層向けのリスク報告や戦略づくり
- セキュリティ教育・社内研修への活用
1.攻撃者のエミュレーション(レッドチーム演習)
レッドチーム演習とは、社内のセキュリティ担当者や外部の専門家が「攻撃者のふりをして」自社のシステムに侵入を試みる訓練のことです。ATT&CKには実際の攻撃グループの手口が記録されているため、それをもとに演習シナリオを組み立てることで、より現実に近い訓練ができます。
架空の攻撃ではなく「実際に使われた手口」で訓練することで、本番に近い形で自社の弱点を発見できます。
参考:TechTarget「What is the Mitre ATT&CK Framework?」
2.防御ギャップアセスメント
防御ギャップアセスメントとは、現在導入しているセキュリティツールや対策が、ATT&CKに登録された攻撃手口のうちどれをカバーできているかを確認する作業です。カバーできていない手口(ギャップ)が見えてくることで、次に何を対策すべきかが明確になります。
「セキュリティ製品をいくつも入れているのに、実は特定の攻撃には全く気づけない状態だった」というケースも珍しくありません。定期的に確認する習慣をつけることが大切です。
参考:Exabeam「What is MITRE ATT&CK®: An Explainer」
3.脅威ハンティングへの応用
脅威ハンティングとは、「もしかしたら、すでに社内に侵入されているかもしれない」という前提で、侵害の痕跡を積極的に探しに行く活動のことです。ATT&CKの攻撃手口を参考に「この手口が使われたなら、こんな記録が残るはず」と仮説を立てて調査します。
自動的なアラートでは気づけない潜伏型の攻撃に対して有効な手段であり、より高度なセキュリティ体制を目指す企業に適したアプローチです。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
4.SOC成熟度の評価と改善
SOC(セキュリティ監視センター)とは、社内や社外で24時間・365日のセキュリティ監視を担う組織やチームのことです。ATT&CKを使うと、このSOCがどれだけの攻撃手口を検知できるかを数値で表すことができます。
「現在は200手口中60手口に対応できている」という形で現状を把握し、定期的に改善することで、監視体制を着実にレベルアップさせることができます。
5.リスク評価と戦略策定
自社の業種や規模に合わせて「狙われやすい攻撃グループ」を特定し、その手口への対応状況を評価することで、根拠のあるリスク報告が作れます。たとえば「製造業を狙う攻撃グループはこのような手口をよく使う。現状の対策ではここが弱い」という形で経営層に説明できます。
データに基づいたリスク説明は経営層の理解を得やすく、必要なセキュリティ投資の承認につながりやすくなります。
参考:Palo Alto Networks「What Is MITRE ATT&CK Framework?」
6.セキュリティ教育とトレーニング
ATT&CKは社内の教育・研修にも活用できます。「なぜこのルールを守らないといけないのか」をATT&CKの具体的な攻撃手口と結びつけて説明することで、担当者の理解が深まります。たとえば「添付ファイルを安易に開かない理由は、ATT&CKでいうとこういう攻撃に悪用されるから」と伝えると、実感が持ちやすくなります。
専門知識のない社員にも攻撃の実態をわかりやすく伝えるための教材として、ATT&CKはとても使いやすいフレームワークです。
参考:TechTarget「What is the Mitre ATT&CK Framework?」
MITRE ATT&CKを導入する際の3つの課題と対策
MITRE ATT&CKは非常に役立つフレームワークですが、実際に使い始めようとすると困ることもあります。よくある3つの課題と、それぞれの対処法を紹介します。
1.情報量が多く、自社に必要な部分を絞り込みにくい
ATT&CKには200種類以上の攻撃手口が登録されており、初めて見ると「どこから手をつければいいかわからない」と感じる方がほとんどです。すべてを一度に把握しようとすると挫折しやすくなります。
まずは「自社の業種でよく狙われる攻撃」や「過去に社内で起きたトラブル」に関係する項目だけに絞って見ていくことをおすすめします。クラウドサービスをよく使っている会社なら「外部からの侵入」や「アカウントの悪用」に関係する手口から始めるだけでも、十分な第一歩になります。
参考:Picus Security「MITRE ATT&CK Framework Guide for Beginners」
2.最新の脅威情報へのキャッチアップが負担になる
ATT&CKは年に数回アップデートされ、新しい攻撃手口が追加されます。常に最新の情報を把握し続けなければならないため、セキュリティ担当者が少ない会社では負担になりがちです。
更新のたびに公式サイトで変更点を確認するとともに、ATT&CKに対応したセキュリティツールを使うことで、ツール側が自動的に最新情報に追いついてくれる環境を整えることが大切です。
参考:Picus Security「MITRE ATT&CK Framework Guide for Beginners」
3.運用リソースが不足しがちである
ATT&CKを継続的に活用するには、定期的な確認や対策の見直しが必要です。しかし、セキュリティ専任の担当者がいない・少ないという会社では、日常業務に追われてなかなか手が回らないことも実情です。
こうした場合は、ATT&CKに基づいた監視・対応を代行してくれる外部のセキュリティ専門サービスの活用も選択肢のひとつです。すべて自社でやろうとせず、外部と役割を分担することで、無理なく継続できる体制をつくることが重要です。
参考:CrowdStrike「What is the Mitre ATT&CK Framework?」
MITRE ATT&CKとサイバーキルチェーンの違い
MITRE ATT&CKと並んでよく耳にするフレームワークに「サイバーキルチェーン」があります。どちらも攻撃の流れを整理したものですが、使い方や詳しさに大きな違いがあります。
| 比較項目 | MITRE ATT&CK | サイバーキルチェーン |
|---|---|---|
| 開発元 | MITRE(米国の非営利研究機関) | ロッキード・マーティン(米国の防衛企業) |
| 攻撃フェーズの数 | 14段階 | 7段階 |
| 手口の詳しさ | 200種類以上の具体的な手口を収録 | 大まかな流れの説明にとどまる |
| 更新頻度 | 年複数回(継続的に更新) | ほぼ固定 |
| 向いている使い方 | 具体的な対策立案・手口の分析・演習 | 攻撃の全体像をざっくり理解したいとき |
サイバーキルチェーンは「攻撃にはこういうステップがある」と大まかに理解するのに向いており、セキュリティの入門として学ぶ方や、経営層への説明に使いやすいフレームワークです。一方、MITRE ATT&CKは具体的な手口まで詳しく載っているため、実際に対策を検討したり、どこに穴があるかを確認したりする場面に適しています。
両者は対立するものではなく、「まずキルチェーンで攻撃の全体像をつかみ、具体的な対策を考えるときはATT&CKを使う」という組み合わせが効果的です。
まとめ
MITRE ATT&CKは、世界中の実際の攻撃事例をもとに作られた「攻撃手口の辞書」であり、セキュリティ対策の優先順位づけや現状把握に役立つフレームワークです。まずは自社の業種や環境に関係する攻撃手口から確認し、少しずつ活用範囲を広げていくことが、無理なく継続するコツです。難しく考えすぎず、「守るべき場所を知るための道具」として気軽に使い始めてみてください。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
