多くの企業が「MITRE ATT&CK」を活用できない残念な訳MITRE ATT&CKの課題克服法

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

2022年02月09日 08時00分 公開
[Shannon FlynnComputer Weekly]

 「MITRE ATT&CK」フレームワークの採用が広がりつつある。とはいえ、幾つかの調査でMITRE ATT&CKの課題が明らかになった。最も重要な課題の一つは、McAfeeとカリフォルニア大学バークレー校のCenter for Long Term Cybersecurityの共同プロジェクトが2020年末に明らかにした。

 大半のセキュリティコミュニティーでは、MITRE ATT&CKが「Cyber Kill Chain(サイバーキルチェーン)」(訳注)に取って代わっている。ただしほとんどのセキュリティチームはそのフレームワークの可能性を最大限に引き出していない。多くの企業はこのフレームワークを効果的に利用するのに悪戦苦闘している。

訳注:軍事用語の「キルチェーン」(攻撃の構造をモデル化したもの)をコンピュータセキュリティに応用したもので、Lockheed Martinが2009年に提唱した。

MITRE ATT&CKを活用できない理由

iStock.com/NicoElNino

 セキュリティチームが直面する課題の大半は、分析と相関関係に関連している。上記プロジェクトは、この課題を「SOC(Security Operation Center)の燃え尽き症候群の主要因」と表現している。

 セキュリティイベントは大量のデータを生み出す。自動化しなければ、タイムリーに対応できないほどの作業負荷がセキュリティチームに降り掛かる。MITRE ATT&CKを採用する企業のほとんどは、関連する自動化を行っていない。クラウドセキュリティサービスによるネットワークイベントへのタグ付けに、91%のチームがこのフレームワークを使っている。だがセキュリティポリシーの適切な変更を自動化しているチームは半数に満たない。

 同様の数のチームが、このフレームワークとセキュリティ製品との相互運用に苦戦しているという。

 ネットワークイベントをセキュリティポリシーの変更に対応付けることの難しさや、クラウド、ネットワーク、エンドポイントの各イベントを相互に関連付けられないことも課題として挙がった。MITRE ATT&CKに含まれる技法の全てを検知できないセキュリティ製品を使っていることも問題になる。

 パッチの自動管理や効果的な境界セキュリティなど、基本的なセキュリティ戦略を実装しているチームは多い。ただし脆弱(ぜいじゃく)性スキャンや侵入検知など、高度なセキュリティ対策に苦労しているチームも多い。

MITRE ATT&CK使用のベストプラクティス

 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)が報告書を公開(2021年6月)した。McAfeeとカリフォルニア大学バークレー校の報告書を引用し、MITRE ATT&CKの効果的な利用に苦戦している企業やセキュリティチームにベストプラクティスを示している。

 McAfeeとカリフォルニア大学バークレー校の報告書と同様、CISAの報告書でもMITRE ATT&CKが主要企業に採用されていることが明らかにされている。とはいえ、現在のセキュリティシステムがMITRE ATT&CKの全ての脅威を検知できると考えている企業は半数にも満たない。

 報告書は、そうした課題を克服するためのアドバイスとベストプラクティスを提供している。例えば、データ自体にMITRE ATT&CKを対応付けるのが難しい企業に役立つ可能性があるアプローチを幾つか概説している。

 アプローチの選択肢としては、

  • 攻撃の手口を特定するためデータソースから着手すること
  • 攻撃の分析を広げる前に特定のツールを実装すること
  • 「MITRE Cyber Analytics Repository」などの検知のルールに従うこと

などが挙げられている。

 ベストプラクティスは、MITRE ATT&CKを最終報告書に対応付けることを重視している。対応付けの基本的なガイダンスとMITRE ATT&CKの用語に関する情報もある。

 報告書には、セキュリティチームの知識を高めてセキュリティシステムを改善するのに役立つMITRE関連の貴重なリソースを含む付録が添えられている。付録にはMITRE ATT&CKを支えるデザイン哲学に関するMITREのレポート、トレーニングコースの一覧、チームがこのプロトコルを使って攻撃を説明し、対応する方法を示す資料が含まれる。

MITRE ATT&CKの主な課題を克服する方法

 攻撃を受ける可能性が高い企業はMITRE ATT&CKから恩恵を受ける可能性がある。とはいえ、前述の通りフレームワークをセキュリティの日常運用に当てはめるのに苦労している企業は多い。相互運用性の懸念、自動化の課題、効果の低いセキュリティ製品は全て、このフレームワークの適用を極めて困難にする恐れがある。新たなベストプラクティスは、企業がMITRE ATT&CKを効果的に使用し、攻撃を防御するのに役立つかもしれない。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news041.jpg

SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...

news143.jpg

HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...

news125.jpg

電通調査で「料理は面倒」が6割超 なぜそうなった?
電通の国内電通グループ横断プロジェクト「電通 食生活ラボ」は、「食生活に関する生活者...