多くの企業が「MITRE ATT&CK」を活用できない残念な訳：MITRE ATT&CKの課題克服法

MITRE ATT&CKを活用すればセキュリティが向上する。だが多くの企業はMITRE ATT&CKを使いこなせていない。その残念な理由と使いこなすための解決策を紹介する。

[Shannon Flynn，Computer Weekly]

　「MITRE ATT&CK」フレームワークの採用が広がりつつある。とはいえ、幾つかの調査でMITRE ATT&CKの課題が明らかになった。最も重要な課題の一つは、McAfeeとカリフォルニア大学バークレー校のCenter for Long Term Cybersecurityの共同プロジェクトが2020年末に明らかにした。

　大半のセキュリティコミュニティーでは、MITRE ATT&CKが「Cyber Kill Chain（サイバーキルチェーン）」（訳注）に取って代わっている。ただしほとんどのセキュリティチームはそのフレームワークの可能性を最大限に引き出していない。多くの企業はこのフレームワークを効果的に利用するのに悪戦苦闘している。

訳注：軍事用語の「キルチェーン」（攻撃の構造をモデル化したもの）をコンピュータセキュリティに応用したもので、Lockheed Martinが2009年に提唱した。

MITRE ATT&CKを活用できない理由

iStock.com/NicoElNino

　セキュリティチームが直面する課題の大半は、分析と相関関係に関連している。上記プロジェクトは、この課題を「SOC（Security Operation Center）の燃え尽き症候群の主要因」と表現している。

　セキュリティイベントは大量のデータを生み出す。自動化しなければ、タイムリーに対応できないほどの作業負荷がセキュリティチームに降り掛かる。MITRE ATT&CKを採用する企業のほとんどは、関連する自動化を行っていない。クラウドセキュリティサービスによるネットワークイベントへのタグ付けに、91％のチームがこのフレームワークを使っている。だがセキュリティポリシーの適切な変更を自動化しているチームは半数に満たない。

　同様の数のチームが、このフレームワークとセキュリティ製品との相互運用に苦戦しているという。

　ネットワークイベントをセキュリティポリシーの変更に対応付けることの難しさや、クラウド、ネットワーク、エンドポイントの各イベントを相互に関連付けられないことも課題として挙がった。MITRE ATT&CKに含まれる技法の全てを検知できないセキュリティ製品を使っていることも問題になる。

　パッチの自動管理や効果的な境界セキュリティなど、基本的なセキュリティ戦略を実装しているチームは多い。ただし脆弱（ぜいじゃく）性スキャンや侵入検知など、高度なセキュリティ対策に苦労しているチームも多い。

関連記事

• 世界中のセキュリティ担当者がMITRE ATT&CKを無視できない納得の理由
• セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
• 攻撃開始から暗号化までの3時間、ランサムウェア攻撃者は何をした？
• Azureに対する史上最大級のDDoS攻撃が突き付けたメガクラウドの是非
• クラックするのは14万倍難しい、新パスワード暗号化方式

MITRE ATT&CK使用のベストプラクティス

　米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）が報告書を公開（2021年6月）した。McAfeeとカリフォルニア大学バークレー校の報告書を引用し、MITRE ATT&CKの効果的な利用に苦戦している企業やセキュリティチームにベストプラクティスを示している。

　McAfeeとカリフォルニア大学バークレー校の報告書と同様、CISAの報告書でもMITRE ATT&CKが主要企業に採用されていることが明らかにされている。とはいえ、現在のセキュリティシステムがMITRE ATT&CKの全ての脅威を検知できると考えている企業は半数にも満たない。

　報告書は、そうした課題を克服するためのアドバイスとベストプラクティスを提供している。例えば、データ自体にMITRE ATT&CKを対応付けるのが難しい企業に役立つ可能性があるアプローチを幾つか概説している。

　アプローチの選択肢としては、

• 攻撃の手口を特定するためデータソースから着手すること
• 攻撃の分析を広げる前に特定のツールを実装すること
• 「MITRE Cyber Analytics Repository」などの検知のルールに従うこと

などが挙げられている。

　ベストプラクティスは、MITRE ATT&CKを最終報告書に対応付けることを重視している。対応付けの基本的なガイダンスとMITRE ATT&CKの用語に関する情報もある。

　報告書には、セキュリティチームの知識を高めてセキュリティシステムを改善するのに役立つMITRE関連の貴重なリソースを含む付録が添えられている。付録にはMITRE ATT&CKを支えるデザイン哲学に関するMITREのレポート、トレーニングコースの一覧、チームがこのプロトコルを使って攻撃を説明し、対応する方法を示す資料が含まれる。

MITRE ATT&CKの主な課題を克服する方法

　攻撃を受ける可能性が高い企業はMITRE ATT&CKから恩恵を受ける可能性がある。とはいえ、前述の通りフレームワークをセキュリティの日常運用に当てはめるのに苦労している企業は多い。相互運用性の懸念、自動化の課題、効果の低いセキュリティ製品は全て、このフレームワークの適用を極めて困難にする恐れがある。新たなベストプラクティスは、企業がMITRE ATT&CKを効果的に使用し、攻撃を防御するのに役立つかもしれない。