Text=近藤 夏海、伊藤 哲也 (日本アイ・ビー・エム システムズ・エンジニアリング)
ISEでのMITRE ATT&CKの活用事例
ここでは、ISEが実施したSIEM製品の更改支援プロジェクトにおけるMITRE ATT&CKの活用事例を紹介する。
本プロジェクトでは、複数のSIEM製品候補からの選定にあたり、客観的な判断基準を必要としていた。
一般に、SIEMの導入コストはログの取集量や種類に依存するため、ISEは比較検討の基盤として、各製品をユーザー環境に導入した際の具体的なコストを算出し、比較することを提案した。
また、ISEは事業被害ベースアプローチに基づき、検知すべき攻撃シナリオの定義と、それを実現するためのログソースを定義するプロセスを提示した。本事例は、組織の成熟度レベル1における活用モデルとして位置づけられる。
分析にあたり、MITRE ATT&CKの「Enterprise Techniques」をベースに、以下の手順でログソースの最適化を図った。
まず、MITRE ATT&CKが定義する技術を一覧化し、各技術の「Detection(検出)」項目に記載されているデータソースを抽出した。
次に現行の環境で収集済みのログソースを特定し、MITRE ATT&CKのマトリックス上で現在検知可能な攻撃手法を可視化した(これらの手順は前述したプロセス「可視化と現状把握」にあたる)。
最後に、現状では検知できないが事業リスクの観点から検知が必要な攻撃手法を整理した。それらを検知するために追加するべきログソースとその収集難易度について協議し、最終的なログ収集計画を策定した。
運用効率化のためのツール活用
本事例では初期段階で手動でのマッピングを実施したが、運用効率化の観点から、以下の公式ツールの活用を推奨する。
❶ ATT&CK in Excel
戦術、技術、データソースが構造化されたスプレッドシートであり、フィルタリング機能を用いることで特定のプラットフォームに関連する技術の抽出や、データソースに基づく網羅的な確認を迅速に行える(「ATT&CK in Excel」、The MITRE Corporation、2026年3月参)。
❷ ATT&CK Navigator
攻撃手法のカバー範囲を視覚的に管理するwebツールである。検知可能な範囲を色付けすることで、脆弱性をヒートマップ形式で特定し、ステークホルダーへの説明性を向上させられる(「ATT&CK Navigator」、The MITRE Corporation、2026年3月参照)。
運用の高度化
前述したMITRE ATT&CKの導入レベル1(現状把握と可視化)からのさらなるステップアップとして、運用の自動化およびAI等の新技術への対応が重要となる。ここでは、サイバーレジリエンスの動的評価と、それを支援する周辺システムの活用について記述する。
❶ SIEMネイティブ機能による動的評価
導入レベル1からのステップアップとして、SIEM製品のネイティブ機能を活用することは有効である。具体的には、収集中のログソースからMITRE ATT&CKの検知カバー率をリアルタイムで自動算出し、ヒートマップとして可視化する手法が挙げられる。
これにより、インフラ環境の変化に伴う検知の死角を即座に特定し、動的なサイバーレジリエンスの評価と継続的な改善を可能にする。
❷ MITRE CALDERA
検知ロジックの実効性を客観的に検証する手段として、MITRE社がオープンソースで公開している自動セキュリティ評価フレームワーク「MITRE CALDERA」(The MITRE Corporation、2026年3月参照)の活用を推奨する。これは、実際のサイバー攻撃手法やシナリオをエミュレーションすることに特化したツールである。
本ツールの主な役割は、既知の攻撃手順に基づいた自律的な模擬攻撃を対象システムに対して実行することにある。これにより、攻撃過程で発生する証跡を直接観察でき、既存の検知ルールや事後対処フローが実効的に機能するかを正確に評価できる。
こうした攻撃と検知の検証サイクルを自動化することで、組織のセキュリティレベルを継続的に最適化できるだけでなく、運用担当者の実践的な習熟度向上を支援する教育基盤としても機能する。
❸ MITRE ATLAS
AIおよび機械学習技術の急速な普及に伴い、これら特有の脆弱性を標的とした攻撃が新たな脅威となっている。この課題に対応するため、MITRE社はAIシステムに特化した脅威ナレッジベース「MITRE ATLAS(Adversarial Threat Landscape for Artificial-Intelligence Systems)」(The MITRE Corporation、2026年3月参照)を公開している。
本フレームワークでは、現実世界で観測されたAI攻撃事例や高度なレッドチーム演習の知見に基づき、敵対的な戦術と手法を体系化している。
最大の特徴はMITRE ATT&CKと同一の構造を採用している点にあり、これにより従来のサイバー攻撃とAI固有の脅威を、共通の指標で統合的に管理・理解することが可能となっている。
具体的には、データの誤認を誘発する敵対的サンプルや、学習データの盗用を試みるモデル逆転といったAI特有のリスクを明確に分類しており、AI技術を導入する組織が包括的な防御策を検討する上で不可欠な知見を提供する。
注意事項
MITRE ATT&CKを有効に活用するには、以下の注意事項を認識する必要がある。
❶ カバー率100%の非現実性
MITRE ATT&CKには、公開情報の調査など、防御側では検知不可能な技術も含まれる。すべての技術を網羅することを目指すのではなく、自組織の環境や優先順位に基づき、防ぐべき攻撃を定義することが重要である。
❷ 単一技術に固執しない
攻撃者は複数の技術を組み合わせて攻撃を展開する。特定の技術の検知に成功したとしても、その前後に存在する他技術の可能性を考慮し、攻撃の全体像を捉える必要がある。
❸ マトリックス外の脅威
MITRE ATT&CKは既知の攻撃に基づく知識ベースであり、未知の技術が直ちに反映されるわけではない。マトリックスに含まれない振る舞いであっても、組織特有の脅威として分析・判断する能力が求められる。
以上、本稿では前編・後編にわたり、MITRE ATT&CKを用いたリスク評価とその具体的な活用事例について述べた。
MITRE ATT&CKは組織のセキュリティ成熟度を問わず、レベル1から段階的に導入可能なフレームワークである。MITRE ATT&CKを活用することで、事業被害に直結する攻撃手法を特定し、ログ収集と検知ルールの策定が可能となる。
今後の展望として、脅威情報の自動的な取り込みや、ツールによるマッピング作業の自動化を推進することで、より動的かつ堅牢なセキュリティ運用体制を構築していくことが求められる。
著者
近藤 夏海氏
日本アイ・ビー・エム システムズ・エンジニアリング株式会社
Security Solution
ITスペシャリスト
2023年に日本アイ・ビー・エム システムズ・エンジニアリングへ入社。クラウドおよびセキュリティ領域を中心に、SASE、ID管理、AI・次世代セキュリティ技術の検証・設計支援に従事。
著者
伊藤 哲也氏
日本アイ・ビー・エム システムズ・エンジニアリング株式会社
Security Solution
ITスペシャリスト
2008年に日本アイ・ビー・エム システムズ・エンジニアリングへ入社。セキュリティスペシャリストとして金融等のユーザーの技術支援に従事。2015年からはSIEM、認証認可やデータベースセキュリティといった分野に関する技術支援を行っている。
[i Magazine・IS magazine]
