攻撃者目線でセキュリティ対策を、MITRE ATT&CKフレームワークの活用方法：産業制御システムのセキュリティ

サイバー犯罪者の戦術や技術、手順が集積され、分類されているMITRE ATT&CKフレームワーク。実際に同フレームワークはセキュリティ対策にどう活用できるのでしょうか。

[貴島直也／Tenable Network Security Japan，MONOist]

　10年ほど前に作成されたMITRE ATT&CKフレームワークは、参照アーキテクチャから、サイバー犯罪者が組織の侵入に悪用するセキュリティギャップに関して対応する中心的な仕組みへと進化してきました。その内容は、企業のセキュリティに欠かせない重要なものですが、その真の力を活用する組織はまだ少ないようです。ただ、VMware レポートによると、日本ではMITRE ATT&CKフレームワークに対する認知度が高く、回答者の88％が「知っている」と答え、56％が「使用を計画している」と回答しています。

　MITRE ATT&CKフレームワークは、サイバー犯罪者の戦術や技術、手順が集積され、分類されている包括的なリソースであり、脅威検出や脅威インテリジェンスのピボット手法に欠かせない業界標準の手法です。日本の製造業は、MITRE ATT&CKフレームワークをどのように活用すれば、ネットワークセキュリティを強化できるのでしょうか。

攻撃者のテクニックを把握できる

　ハッカーは一般的に、最も楽な方法を選んで企業に侵入しようとします。典型的な攻撃では、フィッシングや一般に公開された脆弱性を悪用して、ネットワークへと最初の一歩を踏み出します。そして環境へのアクセスを維持し、権限を昇格させ、ネットワーク内のデバイスを探索しつつ渡り歩きます。最後に、DDoS攻撃を実行して、機密データを抽出したり、ランサムウェアを起動したりして攻撃の目的を達成するのです。

　サイバー攻撃中、ハッカーは目的を達成するために複数のテクニックを使う必要があります。MITRE ATT&CKフレームワークは、それらのテクニックを防御側に公開することを目指しています。

　押さえておきたいのが、フレームワークを自動ツールと組み合わせて活用するということです。これは現実的なサイバー脅威に対する組織の防御体制を検証し、ギャップを突き止める上で、極めて効果的な手法となります。攻撃経路分析を自動化するソリューションは組織のデータを取得し、高度なグラフ分析機能とMITRE ATT&CKフレームワークとを組み合わせる上で必要不可欠です。分析結果は、ハッカーに悪用され得る弱点を特定する上で、非常に有用です。

ギャップ分析の道を開いたMITRE ATT&CKフレームワーク

　包括的なクローズドループの防御戦略を策定することは、現代の組織にとって最も難しい課題であるといえます。MITRE ATT&CKフレームワークが開発される前に作られたサイバーセキュリティのフレームワークは、大抵、必要な防御アイテムのチェックリストとして機能していました。それは参考情報としては役に立つものの、実世界でハッカーがどのようにサイバー犯罪を実行しているかを理解するには及びません。

　レッドチームでさえも、再現可能で綿密な攻撃手法を詳しく説明できるような一貫した方法を持っておらず、攻撃のシミュレーションごとに、あるいは担当チームごとに、まちまちな結果が出ていました。MITRE ATT&CKフレームワークはその状況を一変させて、実世界の潜在的な攻撃を識別し、組織の守備体制を徹底的に理解すること、すなわちギャップ分析を可能にしたのです。

　MITRE ATT&CKフレームワークを使用すれば、防御者はそれぞれの手口を検証して、実際に自社に対して用いられそうな攻撃手法を判断できます。現在の防御セキュリティフレームワークに存在する対策や検出メカニズムを特定することも可能です。この作業は、自動化されたソリューションで代行すれば容易に行えます。

　セキュリティギャップが明らかになったら、次はセキュリティフレームワークを調整して、対策を実施し、ギャップを埋めればよいのです。また、MITRE ATT&CKフレームワークは、セキュリティ担当者自身が攻撃経路内に直接入ってカスタムパスを作ったり、パス内のオリジンやターゲットを操作したりすることで、これらの変更が脅威サーフェスにどのように影響するかを的確に表示します。これによって、攻撃者の心理を深く探るのにも役立ちます。

攻撃後のフォレンジック分析に使用可能

　MITRE ATT&CKフレームワークは、攻撃者が使うテクニックの概要を記載しています。攻撃にどのテクニックが使われているかを調べて、攻撃のパターンを明らかにすれば、攻撃者の戦術がどのように進化したか、攻撃の背後に誰がいるかを調査できます。

　例えば、攻撃を受けた後の調査で、セキュリティ担当者が最初の攻撃手法としてスピアフィッシングメールを特定したとします。ここから担当者は、アカウントの侵入に使ったマルウェアの種類を的確に突き止めて、偵察段階で使用されたスキャンツールや、攻撃者がネットワーク内で別のホストに移動した方法を特定できます。

　調査で明らかになったテクニックをMITRE ATT&CKフレームワークに記載されている内容と比較することで、攻撃者のサイバー空間上での位置が特定できることもあります。ここから、標的にされていた資産を推測したり、攻撃者の次の動きを予測したりすることも可能です。

幅広く防御で役立つMITRE ATT&CKフレームワーク

　検出機能の構築からネットワーク内を探索するハッカーの積極的な追跡まで、MITRE ATT&CKフレームワークは非常によく活躍してくれるツールです。攻撃者がよく使用する、行動時刻によって発動されるプロトコル（TTP）を基に分類しているため、未実装の検出ユースケースを手掛かりにネットワーク内でアクティブなハッカーを突き止めることもできます。

　しかし、このフレームワークを効果的に活用するためには、組織は自社の最重要資産について、どのような犯罪者がどのような理由で標的にする可能性があるかをしっかりと理解する必要があります。それを押さえていれば、最重要資産の侵害に使われるテクニックの検出に優先順位をつけられます。

　MITRE ATT&CKフレームワークは、実世界の脅威動向に基づいて常に更新されているため、防御策に対する定期的なベンチマーキングツールとしても価値があり、予防的かつプロアクティブなアプローチでサイバーセキュリティに取り組むことを可能にします。

⇒特集「制御セキュリティ」はこちら
⇒「産業制御システムのセキュリティ」の記事を読む

著者紹介

貴島直也（きしまなおや）
Tenable Network Security Japan株式会社
カントリーマネージャー

経歴

アダムネット株式会社（現三井情報株式会社）やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。