MITRE ATT&CKとは?
今回は
MITRE ATT&CKとは?
MITRE ATT&CKで何ができる?
MITRE ATT&CKのメリットは?
について具体的に解説していきます。
この記事を読むことで、MITRE ATT&CKに対する理解を深められるだけでなく、MITRE ATT&CKの活用方法と他のセキュリティフレームワーク(NIST Cyber Security Framework, ISO/IEC 27001, 27002)を活用したセキュリティ評価との違いも理解できると思います。
企業が今抱えるセキュリティの課題
新型コロナウイルスの影響を経てテレワークを常用する企業が増え、それに便乗したサイバー攻撃が頻発しており、サイバーセキュリティ対策を急ぎ強化しなければいけない状況です。
一方で、企業は下記のような課題を抱えています。
攻撃者からのサイバー攻撃に対して、適切に対策できているか分からない。
日々セキュリティ対策はしているものの、防御の穴があるかもしれない。防御の穴が見つかった場合に、何から優先的に対策していくべきなのか分からない 等々
これらを解決するため、CIS Controls, NIST Cyber Security Framework, ISO/IEC 27001, 27002、MITRE ATT&CK等といったフレームワークやガイドラインを活用したセキュリティ対策評価やレッドチームオペレーションやペネトレーションテストといった評価手法が存在します。
今回は、MITRE ATT&CKに焦点を置き、MITRE ATT&CKを活用することでできることと、メリットを解説します。
MITRE ATT&CKとは
実際の攻撃における攻撃者の行動に目を向けて、その振る舞いを理解するのが、脅威に対処するための最適な方法の1つです。MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)(マイター・アタック)は、そのような攻撃者の行動を理解するためのフレームワークです。
14個の「Tactics(戦術:攻撃のフェーズ)」と、188個の「Technique(テクニック:攻撃者の使う攻撃手法)」および379個のサブテクニックが定義されています。
MITRE ATT&CKを活用し、攻撃者の利用する攻撃手法(Technique, Sub-Technique)を特定することができれば、その攻撃手法をよく利用する攻撃者グループ(Adversary Group)や攻撃の目的(Tactics)、加えて攻撃手法に対する緩和策(Mitigation)や検知する手段(Detection)も明らかにすることができます。
そのため、すでに組織で導入しているセキュリティツールやソリューションでどういったログを監視しているかという情報を元に、どの攻撃手法に対して検知手段や緩和策が有効か、有効でないか(穴があるか)ということも把握することができます。
では、MITRE ATT&CKを使った評価にはどういったメリットがあるのか、他のセキュリティ評価手法と比較しながら解説していきます。
MITRE ATT&CKを使った評価の3つのメリット
メリット1:絶えず進化している
MITRE ATT&CKは四半期ごとに新たな攻撃や戦術、テクニックが更新されるので、内容は絶えず進化しています。そのため、このフレームワークの活用により最新の脅威を検知する能力を強化できます。攻撃を分類し、脅威に対処するセキュリティアナリストを支援するために、最新の攻撃のさまざまな段階や、攻撃の標的となりえる要素が含まれています。
MITRE ATT&CKフレームワークの四半期ごとの更新においては、以下のようなセキュリティベンダーから提供され、継続的に更新されます。
攻撃時における攻撃者の戦術上の目的
戦術上の目的を達成するために攻撃者が用いるテクニック
テクニックの利用状況をはじめとするメタデータのドキュメント
メリット2:網羅的に評価できる
ペネトレーションテスト等の実機評価は、特定のシステムに対するピンポイントでの脆弱性や対策の不備に対して、疑似攻撃を実施しますので、詳細かつ正確な結果を得るためには最適です。しかし、組織のセキュリティ状況を俯瞰した上で、多様なサイバー攻撃に対する問題点を洗い出すには、時間も労力もかかってしまうため、すべての攻撃手法について実機評価を行うことは現実的ではありません。
一方で、MITRE ATT&CK による評価は机上評価であり、MITRE ATT&CKで定義されている多様な攻撃手法(テクニック)に対して、組織のセキュリティツールやシステムの監視ログ等の情報を元に網羅的な対策ができているか評価します。
MITREは、連邦政府や州政府、地方自治体で業務に当たることで知られている非営利団体です。MITREの業務では、人工知能や健康情報学、脅威の共有、サイバーレジリエンスなどの幅広い領域をカバーしています。
そのため、組織で運用しているSOC(セキュリティオペレーションセンター)で収集・分析しているログを元に、どれだけの攻撃手法が検知可能なのかといったことも把握することができます。
セキュリティ対策を効率的に実装するためには、MITRE ATT&CKの机上評価を活用し、組織のセキュリティ防御状態を俯瞰した上で、防御の穴を可視化します。その上でリスクが高いと考えられるポイントに対して、実際にペネトレーションテストを実施することで、網羅的かつ効率的に防御の穴を把握することができ、それに対する的確な対抗策を検討・実施することができます。
メリット3:脅威視点で評価できる
近年、自組織の情報セキュリティ対策状況を把握するために、NIST Cyber Security Frameworkなどの“公的基準を元に、組織が目標としているセキュリティレベルに達しているかどうか判断する企業が多く存在します。このアプローチを「ベースライン・アプローチ」 といいます。
ベースライン・アプローチは、最低限のセキュリティレベルに達しているかどうか、そのレベルとのギャップを把握することに適しています。また、組織の体制やプロセスが確立し成熟しているかどうかという観点でも評価します。そのため、組織のセキュリティ対策における土台作りに適しています。一方で、実世界で観測された攻撃者による巧妙な攻撃手法リスクの洗い出しをするには不十分で、特定のサイバー攻撃を受けた場合に対処できる状況にあるのか把握することに適していません。
MITRE ATT&CKを用いた机上でのサイバー攻撃対策の評価も、“想定される脅威や攻撃手法に着目し、それらリスクに対してどの程度対策ができているか判断する“「リスクベース・アプローチ」の評価手法です。
組織のセキュリティ対策レベルの底上げをしていくためには、まずはベースライン・アプローチでの評価を実施することで、最低限のセキュリティレベルとのギャップがどこにあるのか把握し、基本的な対策を講じることが必要です。その上で、次のステップとして、リスクベース・アプローチでの評価を実施し、特定のリスクを防止・軽減するために必要な対策を講じる必要があります。
メリット4:システム運用者に優しい
リスクベース・アプローチの代表的な例として、ペネトレーションテストやレッドチームオペレーションがあります。これらの評価手法はいわゆる「実機評価」であり、評価者に攻撃者になりきり実際に外部から脆弱性等をついてシステムに侵入可能かどうか、また侵入された後にどう対処するかといった観点で評価する評価手法になっています。
そのため、システム運用者にとっては、受け入れのための事前準備や実際に対処するためのスキルや体制が必要になり、負担が大きくなってしまう傾向にあります。
一方、MITRE ATT&CKを用いた机上でのサイバー攻撃対策評価は、「机上評価」を前提としたリスクベース・アプローチでの評価手法のため、実際にシステムに侵入する必要がなく、セキュリティ担当者へのアンケートやヒアリング等で評価できます。そのため、システム運用者の負担は最小限に抑えられ、気軽にリスクベース・アプローチでの評価を実施できます。
まとめ
今回は、
MITRE ATT&CKとは
活用することでどういったことができるのか
MITRE ATT&CKによる評価のメリット
についてご紹介してきました。
MITRE ATT&CKを用いたセキュリティ評価のメリットについて、他の評価手法と比較しつつ、机上評価かつリスクベース・アプローチで評価できることが最大の特徴とご紹介しました。
セキュリティ対策状況を評価するための手法やフレームワークは様々あります。組織のセキュリティ対策のレベルを適切かつ効率的に向上させていくためには、各評価の手法の特徴を理解したうえで、組織の状態や評価の意図を踏まえて使い分けていくことが必要です。