近年、サイバー攻撃はますます巧妙化し、企業や組織にとって深刻な脅威となっています。こうした攻撃から重要な情報を守るためには、攻撃者がどのような手順で侵入し、目的を達成するのかを理解することが不可欠です。
そのためのフレームワークのひとつが「サイバーキルチェーン」です。
本記事では、サイバーキルチェーンの基本的な考え方から、攻撃の7つの段階、そして各段階で講じるべき具体的な対策までを、IPAの情報を交えながら分かりやすく解説します。
サイバーキルチェーンとは?
サイバーキルチェーンは、サイバー攻撃がどのような手順で進行するのかを、段階的に整理して理解するためのモデルです。攻撃者が目標を定め、目的を達成するまでの一連のプロセスを7つの段階に分類して捉えることで、防御側はどの段階で攻撃を検知・妨害できる可能性があるのかを整理しやすくなります。
サイバーキルチェーンの成り立ちと提唱
サイバーキルチェーンは、もともと軍事用語の「キルチェーン」を米国の防衛関連企業ロッキード・マーティン社の研究者によって、サイバーセキュリティに応用したサイバー攻撃を分析するためのモデルです。攻撃のプロセスを段階ごとに分析し、いずれかの鎖(チェーン)を断ち切ることで、攻撃の連鎖を止め、最終的な被害を防ぐことが目的です。
原典論文:“Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns”(2011年)
著者:Eric M. Hutchins,Michael J.,Rohan M. Amin(いずれも当時 Lockheed Martin 社所属)
日本のセキュリティ分野における中核機関である独立行政法人 情報処理推進機構(IPA)においても、産業サイバーセキュリティセンターの人材育成事業に関連する一部の調査・研究プロジェクト資料の中で、サイバーキルチェーンがサイバー攻撃の流れを整理するための参考概念の一つとして言及しています。
本記事のサイバーキルチェーンの整理は、Lockheed Martin 社の研究者による原典論文を参考に、サイバー保険ガイド編集部の視点で、企業が理解しやすい形に再構成したものです。
実際の攻撃は必ずしも7段階を順番通りに進むわけではなく、実務では MITRE ATT&CK などのより詳細な行動ベースの分析手法と併用して対策が検討されます。
参考:CyberKillChain®|LockheedMartin
参考:IPA「制御システムにおけるセキュリティ対策優先順位付けガイド」
なぜ今サイバーキルチェーンを理解すべきなのか
現代のサイバー攻撃、特に特定の組織を狙う「標的型攻撃」は、単一のセキュリティ製品を導入するだけでは防ぎきれないほど高度化しています。IPAが毎年発表する「情報セキュリティ10大脅威」においても、「標的型攻撃による機密情報の窃取」は長年にわたり上位にランクインしており、多くの組織にとって喫緊の課題です。
サイバーキルチェーンを理解することで、組織は以下のメリットを得られます。
• 攻撃の全体像の可視化:攻撃がどの段階にあるのかを把握し、適切な対応を判断できます。
• 効果的な対策の特定:各段階で攻撃を阻止するための具体的な防御策を講じることができます。
• インシデント対応の迅速化:万が一侵入を許した場合でも、次の段階に進ませないための対策を迅速に実行できます。
このように、攻撃者の行動を先読みし、多層的な防御を構築するために、サイバーキルチェーンの知識は不可欠です。
ただし、ここで挙げるメリットは、サイバーキルチェーンを具体的な対策フレームワークとして直接適用するという意味ではありません。あくまで、サイバー攻撃の流れを段階的に理解し、どの局面でどのような対策や対応が考えられるかを整理するための概念的な視点として活用するものです。
実務においては、サイバーキルチェーンの考え方を土台にしつつ、MITRE ATT&CK などのより具体的なフレームワークや、各種セキュリティ製品・運用ルールと組み合わせて検討することが一般的です。
関連記事:MITRE ATT&CK(マイター アタック)とは?構成要素についても詳しく解説!
参考:IPA「情報セキュリティ10大脅威2024」「情報セキュリティ10大脅威2025」
サイバーキルチェーン7つの段階と具体的な攻撃手法
サイバーキルチェーンは、サイバー攻撃の進行を7つの段階に分けて整理するモデルです。
ここでは各段階の内容と、実際にどのような攻撃が行われるのかを解説します。
※なお、実際の攻撃は必ずしもこの順番通りに進行するとは限らず、一部の段階が省略されたり、複数の段階が同時に進行したりするケースもあります。サイバーキルチェーンは、あくまで攻撃の流れを理解するための整理モデルとして捉えることが重要です。
※【出典】
Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011).
“Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns”. Lockheed Martin.
※ 本記事の7段階整理は、原典論文の考え方をもとに一般的に解説されている形式で整理したものです。
段階1:偵察(Reconnaissance)
攻撃の最初のステップは、標的となる組織や個人に関する徹底的な情報収集です。攻撃者は、企業のウェブサイト、プレスリリース、SNSアカウント、従業員の個人ブログなど、公開されているあらゆる情報を調査します。これにより、組織の構造、使用しているシステム、主要な人物の役職やメールアドレスなどを把握し、後の攻撃計画に役立てます。
段階2:武器化(Weaponization)
偵察で得た情報を基に、攻撃者は標的に特化した攻撃ツール、すなわち「武器」を作成します。例えば、標的の組織が利用しているソフトウェアの脆弱性を突くマルウェアを作成したり、従業員が興味を持つような件名をつけたメールにウイルスを仕込んだOfficeファイルを用意したりします。
段階3:配送(Delivery)
作成した武器を標的に届ける段階です。最も一般的な手口は、業務連絡や取引先を装った「標的型攻撃メール」です。メールの添付ファイルや本文中のリンクをクリックさせることで、マルウェアを標的のPCに送り込みます。その他、改ざんしたウェブサイトにアクセスさせる、あるいはマルウェアを仕込んだUSBメモリを意図的に放置するなど、多様な手口が用いられます。
段階4:攻撃(Exploitation)
配送されたマルウェアが標的のPC上で実行される段階です。ユーザーが添付ファイルを開いたり、リンクをクリックしたりすることで、OSやアプリケーションの脆弱性(セキュリティ上の欠陥)が悪用され、マルウェアがシステム内部で活動を開始します。
段階5:インストール(Installation)
攻撃に成功したマルウェアは、PCが再起動されても活動を続けられるように、自身をシステムに常駐させます。攻撃者がいつでもシステムに再侵入できるよう、裏口となる「バックドア」を設置することもこの段階で行われます。これにより、攻撃者は持続的なアクセス権を確保します。
段階6:遠隔操作(Command and Control)
インストールされたマルウェアは、インターネットを介して攻撃者が用意した指令サーバー(C2サーバー)と通信を開始します。この通信路が確立されると、攻撃者は標的のPCを外部から自由に遠隔操作できるようになります。ここから、内部ネットワークのさらなる調査や、機密情報が保管されているサーバーへのアクセスが試みられます。
段階7:目的の実行(Actions on Objectives)
最終段階では、攻撃者が本来の目的を実行します。機密情報や個人情報を外部に送信(窃取)したり、データを暗号化して身代金を要求するランサムウェアを展開したり、システムを破壊したりするなど、その目的は様々です。攻撃者は目的を達成すると、侵入の痕跡を消去して発覚を遅らせようとします。
【関連記事】サイバー攻撃の脅威とは?目的や攻撃手法別の事例・中小企業向けのセキュリティ対策も解説
ここからは対策編|攻撃の流れに合わせた多層防御の考え方
ここまで、サイバーキルチェーンの7つの段階を通じて、
サイバー攻撃がどのような流れで進行するのかを見てきました。
ここからは、その攻撃の流れに対して、
どこで・どのように防御を重ねていくかという「対策の視点」で整理していきます。
サイバーキルチェーンは攻撃の全体像を把握するのに有効なモデルですが、
それ自体が具体的な防御策を示すものではありません。
実際のセキュリティ対策では、より実務に即した防御設計が求められます。
IPA(独立行政法人 情報処理推進機構)が公開している実践支援資料「Practice213」では、
攻撃を外部接続点だけで防ぎきることは困難であることを前提に、
1つの対策が突破されても次の対策で防ぐ、または早期に検知して被害を抑える
「多層防御(Defense in Depth)」の考え方が重要とされています。
ここでは、サイバーキルチェーンで示される攻撃の流れを踏まえつつ、
IPAが整理している入口・内部・データ(出口)の3つの観点から、
多層防御の考え方を整理していきます。
外部からの侵入を防ぐ「入口対策」
サイバーキルチェーンにおける「偵察」「武器化」「配送」といった初期段階では、
攻撃者はマルウェアや不正通信を組織内部に送り込むことを狙います。
IPAでは、外部との接続点における防御を多層防御の第一段階として位置付けており、
ここで侵入を防げれば、その後の被害は発生しません。
主な対策例
-
ファイアウォール・IDS/IPS
不正な通信や攻撃の兆候を検知・遮断し、ネットワーク境界で侵入を防止する。 -
メールセキュリティ対策
添付ファイルやURLの検査、サンドボックスによる挙動分析などにより、マルウェアを含むメールの受信を防ぐ。 -
脆弱性管理・パッチ適用
OSやソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用されるリスクを低減する。 -
従業員へのセキュリティ教育
不審なメールやリンクを開かない行動を定着させ、攻撃成立の確率そのものを下げる。
侵入後の活動を抑える「内部対策」
入口対策をすり抜けて侵入された場合、サイバーキルチェーンでは
「攻撃(Exploitation)」「インストール」「遠隔操作(C2)」といった段階に進み、
攻撃者は内部ネットワーク内で活動を拡大させようとします。
IPAでは、こうした侵入後の不正活動を早期に検知・封じ込める仕組みも
多層防御の重要な構成要素としています。
主な対策例
-
アンチウイルス・EDR
マルウェアの実行や不審な挙動を検知し、感染端末の隔離や駆除を行う。 -
アクセス権限の最小化(特権管理)
権限を必要最小限に設定し、攻撃者による横展開や管理者権限の悪用を防止する。 -
ログ取得・監視体制の整備
端末・サーバー・ネットワーク機器のログを監視し、不審な挙動を早期に把握できる体制を構築する。 -
ネットワーク分離・セグメンテーション
重要システムを業務ネットワークから分離し、侵入後の拡散を防止する。
情報漏えいを防ぐ「データ・出口対策」
サイバーキルチェーンの最終段階では、情報の窃取や破壊といった
攻撃者の目的が実行されます。
IPAでは、外部への不正通信やデータ持ち出しを防ぐ対策、
あるいは被害を最小化するためのデータ保護も多層防御の重要な要素としています。
主な対策例
-
プロキシサーバー・通信監視
社内から外部への通信を可視化し、不審な接続先への通信を遮断する。 -
DLP(情報漏えい防止)対策
機密情報を含むファイルの外部送信やクラウドアップロードを検知・制御する。 -
重要データの暗号化
万が一情報が持ち出されても、内容を第三者が読み取れない状態にしておく。
攻撃の流れを理解したうえで多層的に備えることが重要
サイバーキルチェーンは、攻撃が単発ではなく段階的に進行することを理解するための整理モデルであり、
どこで攻撃を止められるかを考える際の視点として有効です。
一方、IPAが示している多層防御の考え方は、
その各段階に対して現実的にどのような防御策を組み合わせるべきかを示す実務的な設計思想といえます。
攻撃の流れを理解しつつ、入口・内部・データの各層で対策を重ねることが、
現実的なサイバーリスク対策につながります。
※【出典】
IPA「サイバーセキュリティリスクに効果的に対応するための仕組みの構築(Practice213)」
実践に向けた基礎情報~多層防御の必要性~
https://www.ipa.go.jp/security/economics/practice/practices/Practice213/
多層防御でもゼロリスクにはならない理由
サイバーキルチェーンやIPAが示す多層防御の考え方は、サイバー攻撃への備えとして非常に有効ですが、
どれほど対策を講じても、すべての攻撃を完全に防ぐことは現実的には困難です。
技術対策には一定の限界があり、企業は「被害を完全に防ぐ」だけでなく、
被害が発生した場合にどう対応し、事業への影響を最小限に抑えるかという視点も持つ必要があります。
内部不正・設定ミス・想定外の侵入経路
多層防御は主に外部からのサイバー攻撃を想定した防御モデルですが、
実際のインシデントでは、正規の権限を持つ従業員や委託先による内部不正、
クラウドサービスの設定ミス、認証情報の漏えいなど、
技術的な防御をすり抜ける形で事故が発生するケースも少なくありません。
こうしたケースでは、侵入検知や通信遮断といった対策が十分に機能せず、
気付いた時にはすでに情報が外部へ流出していた、という事態に発展することもあります。
攻撃手法の高度化とランサムウェアの事業化
近年では、ランサムウェア攻撃が「RaaS(Ransomware as a Service)」として提供され、
高度な攻撃技術を持たない犯罪者でも簡単に攻撃を実行できる環境が広がっています。
これにより、攻撃の発生件数は増加し、侵入経路や手法も多様化しており、
事前にすべての攻撃パターンを想定して対策を講じることは、ますます難しくなっています。
技術対策だけでは補えない「事故後対応」のリスク
サイバー攻撃による被害は、情報漏えいやシステム停止だけにとどまりません。
事故発生後には、原因調査、システム復旧、顧客や取引先への説明、法的対応、広報対応など、
多くの対応業務とコストが発生します。
これらの対応はセキュリティ製品では代替できず、
専門業者への依頼や社内リソースの投入が不可避となるケースが多くあります。
残余リスクへの備えとしてのサイバー保険
多層防御を講じてもなお残るリスクを「残余リスク」と呼びます。
この残余リスクに備える手段の一つが、サイバー保険の活用です。
サイバー保険では、事故対応費用、システム復旧費用、損害賠償費用、
広報対応や専門家支援など、インシデント発生後に必要となる各種コストを補償対象とする商品もあります。
技術対策で事故発生確率を下げつつ、万一の被害拡大に備えて保険で経営リスクをカバーするという考え方は、
近年のサイバーリスク対策において重要な位置付けとなっています。
まとめ:技術対策と経営リスク対策を組み合わせた備えが重要
サイバーキルチェーンは攻撃の流れを理解する整理モデルとして有効であり、
IPAが示す多層防御の考え方は、現実的な防御設計の指針となります。
しかし、どれほど対策を講じてもサイバー攻撃のリスクをゼロにすることはできず、
事故発生後の対応や事業への影響まで含めた備えが必要となります。
技術対策による予防と、サイバー保険による経営リスク対策を組み合わせることで、
企業はより現実的かつ持続可能なサイバーリスク対策を構築することができます。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
