「ATT&CKって表がいっぱいあって難しそう…」
「どうやって自社のセキュリティ対策に活かせばいいの?」

そんな疑問をお持ちのセキュリティ担当者の方に向けて、ATT&CKの構造から具体的な活用方法まで、わかりやすく解説します!

MITRE ATT&CKの「構造」を理解しよう

ATT&CKは、単なるリストではなく、攻撃の構造を体系化したものです。
主に以下の3つの要素で構成されています。これを「TTPs」と呼びます。

1. Tactics(戦術):攻撃者の「目的」

「攻撃者は何をしたいのか?」を表します。
例えば、「初期アクセス(Initial Access)」、「実行(Execution)」、「特権昇格(Privilege Escalation)」など、攻撃のフェーズごとのゴールです。
現在、エンタープライズ向けのマトリックスには14個の戦術があります。

2. Techniques(技術):攻撃者の「手段」

「目的を達成するために、具体的に何をするのか?」を表します。
例えば、「初期アクセス」という目的のために、「フィッシング(Phishing)」という手段を使う、といった具合です。

3. Procedures(手順):攻撃者の「具体的な実行方法」

「その技術をどうやって実行したか?」という詳細な手順です。
特定のマルウェアが使うコマンドや、ツールごとの挙動などがこれに当たります。

「戦術(目的)」 > 「技術(手段)」 > 「手順(詳細)」
この階層構造を理解するのが、ATT&CKを読み解く第一歩です!

ATT&CK Matrix(マトリックス)の見方

ATT&CKのWebサイトに行くと、巨大な表(マトリックス)が表示されます。

  • 横軸 :Tactics(戦術)=攻撃の流れ(左から右へ進むことが多い)
  • 縦軸 :Techniques(技術)=具体的な手法

これを見ることで、「攻撃者は侵入した後、次にどんな手を使ってくる可能性があるか?」を予測することができます。

現場でどう使う?ATT&CKの活用例3選

「見るだけじゃ意味がない!」
その通りです。ここでは、明日から使える活用方法を3つ紹介します。

① ギャップ分析(現状把握)

自社のセキュリティ対策製品が、ATT&CKのどのテクニックに対応しているかをマッピングしてみましょう。
「うちは『マルウェア実行』には強いけど、『認証情報の窃取』に対する検知ルールが全然ないな」といった 防御の穴(ギャップ) が見えてきます。

② 脅威インテリジェンスの活用

ニュースで「新しい攻撃グループ『APTxx』が流行中」と聞いたら、ATT&CKでそのグループを検索してみましょう。
彼らがよく使うテクニックが一覧でわかります。
「このグループは『PowerShell』を多用するのか。じゃあPowerShellのログ監視を強化しよう」と、具体的な対策に落とし込めます。

③ ペネトレーションテストのシナリオ作成

「なんとなく攻撃してみる」のではなく、ATT&CKのシナリオに沿ってテストを行うことで、よりリアルな攻撃に対する耐性を評価できます。

MITRE ATT&CK Navigatorを使ってみよう

MITREは、 「ATT&CK Navigator」 という便利なツールを公開しています。
これを使うと、ブラウザ上でマトリックスに色を塗ったり、メモを残したりできます。
「自社が対策済みのテクニックを緑色に塗る」だけで、防御状況が可視化されたヒートマップが完成します!
上司への報告資料としても非常に優秀です。

まとめ:敵の手口を知り、防御を「点」から「面」へ

  • Tactics(目的)、Techniques(手段)、Procedures(詳細) の構造を理解する。
  • ギャップ分析 で自社の弱点を見つける。
  • Navigator を使って防御状況を可視化する。

ATT&CKを活用することで、アラート対応という「点」の防御から、攻撃シナリオ全体を見据えた「面」の防御へと進化させることができます。

ATT&CKを活用し、一緒に攻撃者に負けない強固なセキュリティ運用を作っていきましょう!