MITRE ATT&CKとNIST:主要なフレームワークの比較

簡易SIEMソフト

ManageEngine > 簡易SIEMソフト Log360 > 機能 > MITRE ATT&CKとNIST:主要なフレームワークの比較

MITRE ATT&CKとNIST:主要なフレームワークの比較

今日、多くの組織は、サイバー攻撃に対してプロアクティブ(事前対策型)かつリアクティブ(事後対策型)に対応できるセキュリティ機構をネットワークに構築する必要があります。プロアクティブな戦略では、攻撃が発生する前に組織のセキュリティを強化し、リスクを最小限に抑えます。一方で、リアクティブなセキュリティは、攻撃が発生した後に攻撃の重大性を軽減し、被害の拡大を食い止めることに重点を置いています。

多くの組織は、プロアクティブかつリアクティブな戦略を何らかの形で実行しています。しかし、その戦略が自組織特有のリスクを十分に理解しないまま策定された可能性があります。このような状況で役立つのが、サイバーセキュリティフレームワークです。サイバーセキュリティフレームワークは、組織特有のリスクを包括的に把握し、それに応じて是正・予防措置を策定するための体系的なガイドラインを提供します。

この記事では、業種を問わず多くの組織が導入している2つの主要なサイバーセキュリティモデルの特徴や違いについて詳しく解説します。その2つのモデルとは、米国国立標準技術研究所(NIST)のNISTフレームワークと、MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge:敵対的戦術、技法、共通知識)フレームワークです。

NISTフレームワークの概要

NISTは、業界標準(FISMA、HIPAAなど)とベストプラクティス(リスクの評価、資産の識別など)を組み合わせることで、組織におけるサイバーセキュリティリスクの低減を目指しています。NISTは、組織が保護すべき資産を分類し、資産に対するリスクを軽減するプロアクティブな戦略を策定できるように支援します。また、サイバー攻撃が発生した場合の最適な対応策と復旧方法がNISTで示されています。

NISTフレームワークの、3つの要素

コア:

標準化された防御手法を実装し、業界標準に準拠する方法を示しています。

サイバーセキュリティリスクを管理するための6つの機能は、次のとおりです。

  1. 統治(Govern):他の5つの機能が成果を達成できるよう、組織のサイバーセキュリティの管理・監督方法を確立し実行する
  2. 識別(Identify):保護すべきプロセスと資産を定義する
  3. 防御(Protect):資産を保護するための対策を導入する
  4. 検知(Detect):セキュリティインシデントを検知するためのシステムと手順を整備する
  5. 対応(Respond):インシデントの影響を軽減または抑制する手順を設計する
  6. 復旧(Recover):業務を再開するための手順を策定する

実装ティア:

ティアは、次の要素に基づいて、組織のセキュリティ成熟度を評価するための指標です。

  1. リスク管理プロセス:サイバーセキュリティリスクを軽減するために、どのような活動を組織で行っているか?
  2. 統合リスク管理:サイバーセキュリティ活動や防御手法は、組織全体で統一的に実装されているか?
  3. 外部参加:組織はサイバーセキュリティのエコシステム全体にどのように参加・貢献しているか?

プロファイル:

この要素は、セキュリティポリシーの改訂やセキュリティ設計の改善といった組織が目指すべきセキュリティの成果を明確化する際に役立ちます。また、「コア」段階で特定されたリスクと、「実装ティア」段階で評価された現在のセキュリティ成熟度を考慮して、セキュリティのあるべき姿を調整する方法を提示します。まず「現在のプロファイル」を設定し、その上で「目標プロファイル」を作成することで、組織で目指すべきセキュリティ成熟度を明確にできます。

この手法によってセキュリティ態勢の現状を把握することで、組織は直面するさまざまなリスクに対応し、適切なセキュリティソリューションに投資できるようになります。NISTは、その公開以来、セキュリティ態勢を強化するための標準として広く採用されています。

MITRE ATT&CKフレームワーク

MITRE ATT&CKフレームワークは、あらゆる種類のサイバー攻撃を理解し、適切な対策を検討するための枠組みとして、2013年に開発されました。多角的な視点でサイバー攻撃を把握するために組織が活用できるフレームワークの1つです。ATT&CKフレームワークは、公開されているサイバー攻撃手法に関する研究、脅威インテリジェンス、そしてセキュリティインシデントの調査結果を基盤としています。また、ATT&CKフレームワークでは、組織がサイバー攻撃を軽減するための方法も示されています。

ATT&CKフレームワークでは、戦術(サイバー攻撃の目的)と技法(サイバー攻撃の方法)がマトリックス構造で整理されています。

ATT&CKを活用することで、戦術(攻撃者が狙う目標)と技法(目標を達成するプロセス)を分析できます。たとえば、攻撃者が、ネットワーク上の脆弱なシステムに悪意のあるコードを送信しようと試みているケースを想定してみてください。攻撃者の目標の1つは、組織が構築している防御メカニズムを回避することと考えられます。この目標は、ATT&CKのマトリックスで「防御回避」と呼ばれています。検知回避を狙った手段の一例として、画像の中に悪意のあるコードを隠し、一見無害に見える画像を送信するというものがあります。ステガノグラフィと呼ばれるこの技法は、サイバーセキュリティ防御を回避するために用いられます。ATT&CKは、想定される攻撃目標を14種類の戦術として整理し、各戦術を実行する際に攻撃者が採用する複数の技法を公開しています。

ATT&CKとNISTの違い

NISTとATT&CKの概要から見えてくるのは、この2つのフレームワークが、サイバー攻撃に対する実践的な解決策として機能しているという点です。両者は、組織の自衛能力の強化という共通の目標を掲げてつつも、異なるアプローチを取ります。NISTは、コンプライアンス規制に準拠したベストプラクティスを示すことで、企業に求められるセキュリティ成果を達成できるように支援します。一方、ATT&CKは、企業が攻撃者に対する理解を深め、ネットワークの脆弱性を調査・評価し、対抗策を策定するための支援を提供します。

NISTとATT&CKは、想定する利用者層が大きく異なります。NISTは、ATT&CKと比較して技術的な要素が少なく、経営幹部が自社のセキュリティ態勢や成熟度を容易に評価できるように設計されています。企業ネットワークの基本的な実務知識を持っている経営幹部であれば、保護すべき資産と現時点のセキュリティ成熟度を推定し、現在のプロファイルを特定できます。一方、ATT&CKは、ITネットワークに関して豊富な技術的知識を持つ最高情報セキュリティ責任者(CISO)向けに設計されています。ATT&CKのマトリックスは、攻撃者の巧妙な手口や、その検知・対策に関する詳細な情報を提供しています。

違い1:ATT&CKは攻撃シナリオの再現・検証を前提としたフレームワーク

ATT&CKの技術的な情報は、ペンテスター(侵入テスト担当者)にとって実践的な指針となります。脅威を検知・軽減するために、どのような兆候やアクティビティログを分析すべきかを判断する際に活用できるためです。ペンテスターは通常、レッドチームやパープルチームと連携して活動します。レッドチームとは、実際の攻撃者を想定して組織のネットワークへの侵入を試みることでセキュリティを検証する外部の専門家集団です。そして、パープルチームとは、ブルーチーム(防御側)とレッドチーム(攻撃側)の両方の観点を持つメンバーで構成される一時的なグループです。

ATT&CKは、実際に戦術や技法を組織でシミュレートすることで初めて効果を発揮します。そのためには、レッドチームやパープルチームがネットワークの脆弱性を検証し、セキュリティ機能が攻撃を確実に防御できるかを確認する必要があります。ATT&CKは、NISTのようなチェックリストではなく、攻撃がどのように実行される可能性があるかを網羅したマトリックス形式で提示されます。つまり、攻撃の手口や方法の列挙に過ぎないため、具体的な評価や検証が欠かせません。一方、NISTは、高度なテストを必要とせず、組織がセキュリティ機能を把握できるように設計されています。NISTフレームワークは、チェックリストとして活用でき、組織のセキュリティ態勢を容易に把握できます。ただし、セキュリティ評価はシンプルかつ迅速に実施できる一方で、セキュリティ担当者の主観的判断に評価結果が左右されやすいという課題があります。

違い2:ATT&CKは、頻繁に更新される

2つのフレームワークのもう一つの顕著な違いは、ATT&CKが更新頻度がより高いという点です。MITREのWebサイトによると、ATT&CKのマトリックスは半年ごとに更新されることになっています。NISTは、複数の改訂版を公開していますが(最新のバージョン2.0は2024年2月公開)、絶えず変化するサイバー脅威の動向に十分に対応できているとは言えません。そのため、最新のサイバーリスクを反映させ、セキュリティ機能を更新する上でNISTは最適ではありません。一方、ATT&CKは、新たな脅威インテリジェンスを継続的にマトリックスに反映することで、頻繁に更新されています。また、誰でもこのデータベースに脅威インテリジェンスを提供できる仕組みになっています。この特徴により、CISOは脅威への対応優先度を迅速に判断できます。

たとえば、2017年から2019年の脅威の動向では、暗号通貨の価格高騰に伴い、クリプトジャッキング攻撃が急増しました。つまり、ATT&CKで特定された戦術や技法に基づく新たな対応が求められました。具体的には、セキュリティアナリストは、攻撃者が暗号通貨の不法なマイニングを狙ってシステムを侵害する手法に注目する必要がありました。2021年には、新型コロナウイルスのパンデミックという予想外の事態が発生し、脅威の動向が一変しました。多くの組織は、より高度なランサムウェア攻撃やDDoS攻撃への対応を迫られました。この動向の変化に伴い、セキュリティチームは、MITREの更新された技法を参照して、脅威の移り変わりに適応する必要がありました。つまり、クリプトジャッキング攻撃に割いていたリソースを縮小し、ランサムウェアやDDoS攻撃への対応に注力しないといけませんでした。NISTは、度々改訂を重ねているものの、突然発生する重大なリスクへの即応性には課題があります。そのため、NISTのみを指針にしていると、ネットワークの保護に不可欠な脅威インテリジェンスを見逃してしまう恐れがあります。

まとめ:NISTとATT&CKに優劣はなく、目的・役割が異なる

NISTとATT&CKを比較してきましたが、どちらが優れているのでしょうか?NISTのシンプルな評価スタイルと、MITRE ATT&CKの奥深さと網羅性、どちらの利点も活かしながら統合的に活用する必要があるため、一方が他方より優れていると決められる性質のものではありません。しかし、ネットワークセキュリティの強化という重要な目標を念頭に置くと、まずはNISTを活用して組織が直面しているリスクを個別に評価することから着手すべきでしょう。その上で、ATT&CKで特定されている戦術・技法・手順を活用して実践的な防御検証に移ることをお勧めします。このアプローチを採用することで、組織のセキュリティ成熟度を徐々に改善できます。両方のフレームワークの強みを活かすことで、リスクを適切に対処するプロアクティブかつリアクティブなサイバーセキュリティ戦略を、あらゆる組織で実現できるようになります。