MITRE ATT&CK
定義
MITRE ATT&CKは実際の攻撃事例から収集した攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベースで、MITREが2013年から公開・維持管理しています。14のタクティクス(偵察・リソース開発・初期侵入・実行・永続化・権限昇格・防御回避・認証情報アクセス・探索・ラテラルムーブメント・収集・C2・持ち出し・インパクト)と200以上のテクニック・サブテクニックで構成されています。SOCはアラートをATT&CKのIDにマッピングすることで攻撃の段階・目的を即座に把握でき、ATT&CK Navigatorで自組織の検知カバレッジをヒートマップで可視化して優先的に強化すべきフェーズを特定できます。レッドチームはATT&CKに沿って攻撃シナリオを設計し、ブルーチームはその結果をもとに検知・防御ルールを改善するPurple Teamingが特に有効です。脅威インテリジェンスプロバイダーも各APTグループが使うテクニックをATT&CKにマッピングして提供しており、脅威インテリジェンスと防御設計の共通言語として機能しています。
詳細解説
ATT&CKはTactics(戦術 = 攻撃者の目的)・Techniques(技術 = 達成方法)・Sub-techniques(サブ技術)の階層で体系化されています。SOCのアラートをATT&CKのIDにマッピングすることで攻撃のフェーズを即座に把握できます。ATT&CK Navigatorで自組織の検知カバレッジを可視化し、防御の優先度付けに活用できます。
ポイント
- 14タクティクス:偵察・リソース開発・初期侵入・実行・永続化・権限昇格など
- ATT&CK Navigatorで自組織の検知カバレッジをヒートマップで可視化できる
- SIGMA規則・YARA・Snortルールと組み合わせて検知を実装に落とし込む
- D3FEND(防御版ATT&CK)と対応させて防御策の網羅性を確認できる
関連用語
よくある質問
MITRE ATT&CKとは?
実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテクニックで構成。脅威インテリジェンス・検知ルール・レッドチーム演習に活用される。
MITRE ATT&CKについて詳しく知るには?
ATT&CKはTactics(戦術 = 攻撃者の目的)・Techniques(技術 = 達成方法)・Sub-techniques(サブ技術)の階層で体系化されています。SOCのアラートをATT&CKのIDにマッピングすることで攻撃のフェーズを即座に把握できます。ATT&CK Navigatorで自組織の検知カバレッジを可視化し、防御の優先度付けに活用できます。
MITRE ATT&CKのポイントは?
14タクティクス:偵察・リソース開発・初期侵入・実行・永続化・権限昇格など ATT&CK Navigatorで自組織の検知カバレッジをヒートマップで可視化できる SIGMA規則・YARA・Snortルールと組み合わせて検知を実装に落とし込む D3FEND(防御版ATT&CK)と対応させて防御策の網羅性を確認できる
同じカテゴリの用語(フレームワーク)
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…
組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの…