2022年02月09日 08時00分 公開
特集/連載

多くの企業が「MITRE ATT&CK」を活用できない残念な訳MITRE ATT&CKの課題克服法

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

[Shannon Flynn,Computer Weekly]

 「MITRE ATT&CK」フレームワークの採用が広がりつつある。とはいえ、幾つかの調査でMITRE ATT&CKの課題が明らかになった。最も重要な課題の一つは、McAfeeとカリフォルニア大学バークレー校のCenter for Long Term Cybersecurityの共同プロジェクトが2020年末に明らかにした。

 大半のセキュリティコミュニティーでは、MITRE ATT&CKが「Cyber Kill Chain(サイバーキルチェーン)」(訳注)に取って代わっている。ただしほとんどのセキュリティチームはそのフレームワークの可能性を最大限に引き出していない。多くの企業はこのフレームワークを効果的に利用するのに悪戦苦闘している。

訳注:軍事用語の「キルチェーン」(攻撃の構造をモデル化したもの)をコンピュータセキュリティに応用したもので、Lockheed Martinが2009年に提唱した。

MITRE ATT&CKを活用できない理由

iStock.com/NicoElNino

 セキュリティチームが直面する課題の大半は、分析と相関関係に関連している。上記プロジェクトは、この課題を「SOC(Security Operation Center)の燃え尽き症候群の主要因」と表現している。

 セキュリティイベントは大量のデータを生み出す。自動化しなければ、タイムリーに対応できないほどの作業負荷がセキュリティチームに降り掛かる。MITRE ATT&CKを採用する企業のほとんどは、関連する自動化を行っていない。クラウドセキュリティサービスによるネットワークイベントへのタグ付けに、91%のチームがこのフレームワークを使っている。だがセキュリティポリシーの適切な変更を自動化しているチームは半数に満たない。

 同様の数のチームが、このフレームワークとセキュリティ製品との相互運用に苦戦しているという。

 ネットワークイベントをセキュリティポリシーの変更に対応付けることの難しさや、クラウド、ネットワーク、エンドポイントの各イベントを相互に関連付けられないことも課題として挙がった。MITRE ATT&CKに含まれる技法の全てを検知できないセキュリティ製品を使っていることも問題になる。

 パッチの自動管理や効果的な境界セキュリティなど、基本的なセキュリティ戦略を実装しているチームは多い。ただし脆弱(ぜいじゃく)性スキャンや侵入検知など、高度なセキュリティ対策に苦労しているチームも多い。

MITRE ATT&CK使用のベストプラクティス

 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)が報告書を公開(2021年6月)した。McAfeeとカリフォルニア大学バークレー校の報告書を引用し、MITRE ATT&CKの効果的な利用に苦戦している企業やセキュリティチームにベストプラクティスを示している。

 McAfeeとカリフォルニア大学バークレー校の報告書と同様、CISAの報告書でもMITRE ATT&CKが主要企業に採用されていることが明らかにされている。とはいえ、現在のセキュリティシステムがMITRE ATT&CKの全ての脅威を検知できると考えている企業は半数にも満たない。

 報告書は、そうした課題を克服するためのアドバイスとベストプラクティスを提供している。例えば、データ自体にMITRE ATT&CKを対応付けるのが難しい企業に役立つ可能性があるアプローチを幾つか概説している。

 アプローチの選択肢としては、

  • 攻撃の手口を特定するためデータソースから着手すること
  • 攻撃の分析を広げる前に特定のツールを実装すること
  • 「MITRE Cyber Analytics Repository」などの検知のルールに従うこと

などが挙げられている。

 ベストプラクティスは、MITRE ATT&CKを最終報告書に対応付けることを重視している。対応付けの基本的なガイダンスとMITRE ATT&CKの用語に関する情報もある。

 報告書には、セキュリティチームの知識を高めてセキュリティシステムを改善するのに役立つMITRE関連の貴重なリソースを含む付録が添えられている。付録にはMITRE ATT&CKを支えるデザイン哲学に関するMITREのレポート、トレーニングコースの一覧、チームがこのプロトコルを使って攻撃を説明し、対応する方法を示す資料が含まれる。

MITRE ATT&CKの主な課題を克服する方法

 攻撃を受ける可能性が高い企業はMITRE ATT&CKから恩恵を受ける可能性がある。とはいえ、前述の通りフレームワークをセキュリティの日常運用に当てはめるのに苦労している企業は多い。相互運用性の懸念、自動化の課題、効果の低いセキュリティ製品は全て、このフレームワークの適用を極めて困難にする恐れがある。新たなベストプラクティスは、企業がMITRE ATT&CKを効果的に使用し、攻撃を防御するのに役立つかもしれない。

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...