攻撃者目線でセキュリティ対策を、MITRE ATT&CKフレームワークの活用方法:産業制御システムのセキュリティ
サイバー犯罪者の戦術や技術、手順が集積され、分類されているMITRE ATT&CKフレームワーク。実際に同フレームワークはセキュリティ対策にどう活用できるのでしょうか。
10年ほど前に作成されたMITRE ATT&CKフレームワークは、参照アーキテクチャから、サイバー犯罪者が組織の侵入に悪用するセキュリティギャップに関して対応する中心的な仕組みへと進化してきました。その内容は、企業のセキュリティに欠かせない重要なものですが、その真の力を活用する組織はまだ少ないようです。ただ、VMware レポートによると、日本ではMITRE ATT&CKフレームワークに対する認知度が高く、回答者の88%が「知っている」と答え、56%が「使用を計画している」と回答しています。
MITRE ATT&CKフレームワークは、サイバー犯罪者の戦術や技術、手順が集積され、分類されている包括的なリソースであり、脅威検出や脅威インテリジェンスのピボット手法に欠かせない業界標準の手法です。日本の製造業は、MITRE ATT&CKフレームワークをどのように活用すれば、ネットワークセキュリティを強化できるのでしょうか。
攻撃者のテクニックを把握できる
ハッカーは一般的に、最も楽な方法を選んで企業に侵入しようとします。典型的な攻撃では、フィッシングや一般に公開された脆弱性を悪用して、ネットワークへと最初の一歩を踏み出します。そして環境へのアクセスを維持し、権限を昇格させ、ネットワーク内のデバイスを探索しつつ渡り歩きます。最後に、DDoS攻撃を実行して、機密データを抽出したり、ランサムウェアを起動したりして攻撃の目的を達成するのです。
サイバー攻撃中、ハッカーは目的を達成するために複数のテクニックを使う必要があります。MITRE ATT&CKフレームワークは、それらのテクニックを防御側に公開することを目指しています。
押さえておきたいのが、フレームワークを自動ツールと組み合わせて活用するということです。これは現実的なサイバー脅威に対する組織の防御体制を検証し、ギャップを突き止める上で、極めて効果的な手法となります。攻撃経路分析を自動化するソリューションは組織のデータを取得し、高度なグラフ分析機能とMITRE ATT&CKフレームワークとを組み合わせる上で必要不可欠です。分析結果は、ハッカーに悪用され得る弱点を特定する上で、非常に有用です。
ギャップ分析の道を開いたMITRE ATT&CKフレームワーク
包括的なクローズドループの防御戦略を策定することは、現代の組織にとって最も難しい課題であるといえます。MITRE ATT&CKフレームワークが開発される前に作られたサイバーセキュリティのフレームワークは、大抵、必要な防御アイテムのチェックリストとして機能していました。それは参考情報としては役に立つものの、実世界でハッカーがどのようにサイバー犯罪を実行しているかを理解するには及びません。
レッドチームでさえも、再現可能で綿密な攻撃手法を詳しく説明できるような一貫した方法を持っておらず、攻撃のシミュレーションごとに、あるいは担当チームごとに、まちまちな結果が出ていました。MITRE ATT&CKフレームワークはその状況を一変させて、実世界の潜在的な攻撃を識別し、組織の守備体制を徹底的に理解すること、すなわちギャップ分析を可能にしたのです。
MITRE ATT&CKフレームワークを使用すれば、防御者はそれぞれの手口を検証して、実際に自社に対して用いられそうな攻撃手法を判断できます。現在の防御セキュリティフレームワークに存在する対策や検出メカニズムを特定することも可能です。この作業は、自動化されたソリューションで代行すれば容易に行えます。
セキュリティギャップが明らかになったら、次はセキュリティフレームワークを調整して、対策を実施し、ギャップを埋めればよいのです。また、MITRE ATT&CKフレームワークは、セキュリティ担当者自身が攻撃経路内に直接入ってカスタムパスを作ったり、パス内のオリジンやターゲットを操作したりすることで、これらの変更が脅威サーフェスにどのように影響するかを的確に表示します。これによって、攻撃者の心理を深く探るのにも役立ちます。
攻撃後のフォレンジック分析に使用可能
MITRE ATT&CKフレームワークは、攻撃者が使うテクニックの概要を記載しています。攻撃にどのテクニックが使われているかを調べて、攻撃のパターンを明らかにすれば、攻撃者の戦術がどのように進化したか、攻撃の背後に誰がいるかを調査できます。
例えば、攻撃を受けた後の調査で、セキュリティ担当者が最初の攻撃手法としてスピアフィッシングメールを特定したとします。ここから担当者は、アカウントの侵入に使ったマルウェアの種類を的確に突き止めて、偵察段階で使用されたスキャンツールや、攻撃者がネットワーク内で別のホストに移動した方法を特定できます。
調査で明らかになったテクニックをMITRE ATT&CKフレームワークに記載されている内容と比較することで、攻撃者のサイバー空間上での位置が特定できることもあります。ここから、標的にされていた資産を推測したり、攻撃者の次の動きを予測したりすることも可能です。
幅広く防御で役立つMITRE ATT&CKフレームワーク
検出機能の構築からネットワーク内を探索するハッカーの積極的な追跡まで、MITRE ATT&CKフレームワークは非常によく活躍してくれるツールです。攻撃者がよく使用する、行動時刻によって発動されるプロトコル(TTP)を基に分類しているため、未実装の検出ユースケースを手掛かりにネットワーク内でアクティブなハッカーを突き止めることもできます。
しかし、このフレームワークを効果的に活用するためには、組織は自社の最重要資産について、どのような犯罪者がどのような理由で標的にする可能性があるかをしっかりと理解する必要があります。それを押さえていれば、最重要資産の侵害に使われるテクニックの検出に優先順位をつけられます。
MITRE ATT&CKフレームワークは、実世界の脅威動向に基づいて常に更新されているため、防御策に対する定期的なベンチマーキングツールとしても価値があり、予防的かつプロアクティブなアプローチでサイバーセキュリティに取り組むことを可能にします。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。 - 急速な工場デジタル化が招く複雑なセキュリティ対策、OTの安全保障を考える
工場のデジタル化は資産がサイバー脅威にさらされるリスクの増大を意味します。身を守るために、OTではどのような対策を講じるべきでしょうか。 - 経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第5回は、経営層が「OTセキュリティ戦略」の必要性をさらに深く理解できるようにするための策定手法について説明する。 - 心配事は実は同じ、IT/OT部門がセキュリティ対策で協調するのに必要なこと
IT/OT部門の“対立”は製造業ではおなじみのテーマと言えるかもしれない。業務領域や役割への相互理解の欠如は、サイバー攻撃への脆弱さにつながりかねない。しかし、実は両部門がセキュリティ対策で重視する項目は、根底でつながっているのではないだろうか。 - 終焉する“孤立したOTネットワーク”、ITとの統合でサイバー攻撃を防ぐには
製造業におけるサイバーリスクとセキュリティトレンドおよびそれらの課題と対策について説明する本連載。第1回は、既に自動化が進んだ工場におけるOTとITの統合に向けたサイバー攻撃への対策を取り上げます。 - 「OTのゼロトラスト化」は進むのか、米国セキュリティ企業の問いかけ
Nozomi Networksは2022年6月8日、同社の国内事業展望と、産業セキュリティの最新トレンドについての説明会をオンラインで開催した。ネットワークセキュリティ業界で注目を集めるゼロトラストの思想をOT領域にも拡張することについて、現状での課題点などが提示された。 - OTとITのノウハウを注入したDXを、横河デジタルの新たな挑戦
横河電機は2022年7月1日に、製造業の経営から現場までを見渡したDX(デジタルトランスフォーメーション)を推進する経営コンサルティング企業である横河デジタルを設立。同年10月1日から営業を開始することを発表した横河デジタルの代表取締役社長となった鹿子木宏明氏と、横河電機 フェローで横河デジタルの取締役に就任した勝木雅人氏に話を聞いた。 - ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。