サイバー攻撃の手口が年々巧妙化し、従来の防御策だけでは太刀打ちできない時代になってきました。そうした中で注目されているのが、実際の攻撃者の行動をもとに構築されたフレームワーク「MITRE ATT&CK(マイター アタック)」です。
MITRE ATT&CKのフレームワークを活用することで、攻撃の全体像を把握し、より実践的なセキュリティ対策を立てることが可能になります。
本記事では、MITRE ATT&CKの基本的な考え方や構成要素などについてわかりやすく解説していきます。
MITRE ATT&CK(マイター アタック) とは?
MITRE ATT&CK(マイターアタック)とは、アメリカの非営利団体MITRE(マイター)によって開発された、実在するサイバー攻撃の戦術・技術を体系的に整理したナレッジベースです。正式名称は「Adversarial Tactics, Techniques, and Common Knowledge(攻撃者の戦術・技術・一般知識)」で、現実に観測された攻撃者の行動パターンをもとに構築されています。MITRE ATT&CKの特徴
MITRE ATT&CKの最大の特徴は、理論モデルではなく「実際に観測された攻撃者の行動に基づいている」という点にあります。従来のセキュリティモデルとは異なり、MITRE ATT&CKでは現実のサイバー攻撃を詳細に分析し、どのように動き、何を目的としたかまでを戦術ごとに分類し、それぞれに具体的な技術やサブ技術が紐づけられています。
たとえば、攻撃の初期段階で使われる戦術「初期アクセス(Initial Access)」には、フィッシングやサプライチェーン攻撃などの技術が分類されており、さらにその中に「スピアフィッシング(標的型メール)」といったサブ技術も定義されています。
このようにMITRE ATT&CKは、セキュリティチームが攻撃の全体像を俯瞰し、対策のギャップや優先度を評価するための共通言語として世界中の企業・組織に活用されています。
MITRE ATT&CKが提供する5つの実用的な価値
MITRE ATT&CKは、単なる攻撃データの集積ではなく、企業や組織のセキュリティ強化を実現する「実務的なフレームワーク」として活用されています。以下に、実際にどのような価値をもたらすのかを5つの観点から解説します。| 提供価値 | 説明 |
|---|---|
| 共通言語の提供 | セキュリティチーム間での認識のずれを防ぐ「標準化された用語体系」を提供します。たとえば「戦術(Tactics)」や「技術(Techniques)」といった枠組みにより、部門をまたいだ円滑なコミュニケーションが可能になります。 |
| 攻撃の可視化 | 攻撃者の行動パターンを視覚的に整理し、どの段階で何が行われたかを俯瞰できる「マトリクス構造」によって、理解と共有を促進します。 |
| 防御計画の基盤 | 攻撃の現実的な手口に基づいて設計されているため、従来の理論モデルと異なり、具体的かつ実践的な防御戦略の策定が可能です。 |
| 脅威情報の統合 | 脅威インテリジェンスやログ情報など、さまざまな情報をATT&CKの体系にマッピングすることで、断片的な情報を統一的に管理・活用できます。 |
| ギャップ分析に活用 | 自社の防御状況をMITRE ATT&CKに照らして分析することで、検知できていない攻撃技術や対応が不足している部分を特定し、優先順位の明確化と強化策の立案に活かせます。 |
なぜMITRE ATT&CKが注目されているのか?4つの背景要因
MITRE ATT&CKは、世界中のセキュリティ専門家から高く評価され、さまざまな現場で活用されています。その理由は、単なる知識の集積ではなく、実際の攻撃者の行動を反映した、現場で使えるフレームワークである点にあります。
ここでは、注目される背景を4つの観点から整理します。
MITRE ATT&CKが注目される主な理由
1. サイバー攻撃の多様化と高度化
近年のサイバー攻撃は、標的型攻撃やランサムウェアに加え、ファイルを使わずに直接メモリを操作する「ファイルレス攻撃」といった新しい手法も登場しており、もはや単一のセキュリティ技術やルールベースの防御だけでは、あらゆる脅威を網羅することは困難です。MITRE ATT&CKは、こうした多様な攻撃パターンを「戦術」や「技術」として分類・整理することで、包括的かつ段階的なセキュリティ対策の立案を支援します。
2. 従来モデルの限界
従来のセキュリティモデルは、理論的・静的なアプローチが中心で、実際の攻撃者の行動を十分に反映できていないという課題がありました。一方MITRE ATT&CKは、現実に観測された攻撃手法をもとに構築されており、より実践的かつ具体的な対策検討が可能です。
3. 脅威アクターの理解ニーズ
セキュリティ対策の精度を高めるには、単に守るだけでなく、攻撃者の目的や行動パターンを理解することが不可欠です。MITRE ATT&CKは、攻撃者の視点からセキュリティを分析するアプローチを提供しており、すでに侵入しているかもしれない攻撃者を積極的に探し出す「脅威ハンティング」や、インシデント対応における分析の質を高めるツールとして機能します。
4. セキュリティ製品評価の標準化
セキュリティ製品の導入を検討する際、多様な機能や検知範囲の違いから客観的な比較が難しいという課題があります。MITRE ATT&CKはその構成が明確で、EDRやSIEMなどの製品評価を体系的に行える共通基準として活用されており、製品選定の信頼性向上にも貢献しています。
MITRE ATT&CKマトリックスとは?攻撃者の行動を可視化するフレームワーク
MITRE ATT&CKの核となるのが「マトリクス」です。これは、攻撃者がどのような手順(戦術)で、どんな方法(技術)を使って攻撃を進めるかを表形式で整理したものです。縦に「戦術(Tactics)」、横に「技術(Techniques)」を配置し、攻撃の流れを可視化することで、セキュリティ担当者がどの段階でどんな脅威に備えるべきかを把握できます。
MITRE ATT&CKには、攻撃対象のシステムに応じた3種類のマトリクスが用意されています。
(※2025年4月時点での最新は ATT&CK v17.1です)
エンタープライズマトリクス(Enterprise Matrix)
対象: 一般的な企業のIT環境(Windows、macOS、Linux、クラウド、ネットワーク)特徴: 最も広く使われているマトリクスで、14の戦術フェーズで構成されています。
用途: 組織のセキュリティ対策状況の全体像を評価し、防御の抜けを発見するのに最適です。
エンタープライズマトリックスの主な戦術の例
| 戦術名 | 説明(攻撃者の目的) |
|---|---|
| 初期アクセス | 組織のネットワークに入り込む |
| 実行 | 悪意のあるコードを実行する |
| 永続化 | 感染状態を長く維持する |
| 権限昇格 | 高い権限を取得する |
| 防御回避 | セキュリティ製品や監視を回避する |
| 認証情報アクセス | パスワードやトークンなどの情報を盗み出す |
| 横方向移動 | 他の端末やシステムに感染を広げる |
| データ流出 | 集めた情報を外部に持ち出す |
モバイルマトリクス(Mobile Matrix)
対象: スマートフォンやタブレットなどのモバイル端末(Android/iOS)特徴: モバイル特有の脆弱性や攻撃方法に特化。位置情報の窃取やアプリ改ざんなどが対象になります。
用途:社用スマホやリモートワーク等のセキュリティ管理に有効です。
攻撃例の一部:
・マルウェアを仕込んだアプリのインストールを誘導
・端末のカメラ・マイクへの不正アクセス
・不正アプリによる位置情報や連絡先の取得
・SMS経由でフィッシングサイトに誘導
ICSマトリクス(Industrial Control Systems Matrix)
対象: 製造業やインフラ(電力・ガス・水道など)の制御システム(SCADA/PLC 等)特徴: 産業用ネットワーク・設備に特化した攻撃手法を体系化。
用途:工場・発電所・交通機関など、重要インフラを扱う組織でのリスク評価に活用されます。
主な攻撃シナリオ例:
・OT(制御系)ネットワークに侵入し、遠隔から操作命令を改ざん
・制御装置のファームウェアを書き換える
・プロセスの停止や誤作動を引き起こす
MITRE ATT&CKのマトリクスは、攻撃の全体像を「見える化」するツールとして非常に有効です。
それぞれのマトリクスを活用することで、自組織の防御体制における「どこがカバーできていて、どこに弱点があるか」を把握し、対策の優先順位を明確にすることがご理解いただけたでしょうか。
MITRE ATT&CKを構成する3つの要素 ― 戦術・技術・サブ技術とは?
MITRE ATT&CKのマトリクスは、「戦術(Tactics)」「技術(Techniques)」「サブ技術(Sub-techniques)」の3階層で構成されています。これは、攻撃者の目的(なにをしたいか)と手段(どうやってやるか)を明確に分けて可視化するための仕組みです。
1. 戦術(Tactics)=「なにをしたいか」
戦術(Tactics)とは、攻撃者が達成しようとする目的を表します。たとえば「最初に侵入したい」「管理者権限を取りたい」「情報を盗みたい」といった攻撃のフェーズ(目的)にあたります。
MITRE ATT&CKでは、エンタープライズマトリクスの場合、以下のような14の戦術が定義されています。
| 戦術名 | 説明 |
|---|---|
| 初期アクセス | システムへの最初の侵入手段(例:フィッシングメール等) |
| 実行 | 悪意のあるコードを実行する方法(例:PowerShellの悪用) |
| 永続化 | システム再起動後もマルウェアが残る仕組み(例:スタートアップ登録) |
| 権限昇格 | 管理者権限の取得(例:脆弱性の悪用) |
| 防御回避 | ウイルス対策や監視を回避する方法(例:ファイル名の偽装) |
| 横方向移動 | ネットワーク内の他の端末へ侵入を広げる(例:リモートデスクトップ乗っ取り) |
| データ流出 | 収集した情報を外部へ送信する手段(例:C2サーバーへの通信) |
2. 技術(Techniques)=「どうやるか」
技術とは、戦術を実現するために攻撃者が使う具体的な手法のことです。たとえば、「初期アクセス」の戦術に対して、「スピアフィッシング」や「サプライチェーン攻撃」といった技術が対応します。
3. サブ技術(Sub-techniques)=「より細かいやり方」
さらに技術の中には、より具体的な“やり方”の違いを区別するために、サブ技術が定義されている場合もあります。たとえば、「初期アクセス」という戦術に含まれる技術として「スピアフィッシング」があり、さらにその中には「添付ファイル型」「リンク型」「サービス通知型」といったサブ技術が定義されています。
この階層構造によって、MITRE ATT&CKは攻撃者の行動をフェーズから詳細手口まで網羅的に可視化できるようになっています。
MITRE ATT&CKとサイバーキルチェーンの違いとは?
MITRE ATT&CKとよく比較されるセキュリティモデルに、「サイバーキルチェーン(Cyber Kill Chain)」があります。どちらもサイバー攻撃の流れを体系化したフレームワークですが、視点・目的・使い方に明確な違いがあります。
違い1:モデルの起点と視点
・サイバーキルチェーン攻撃の全体的な流れを上流から下流へ「理論モデル」として整理。軍事用語の「Kill Chain(攻撃の連鎖)」に由来し、防御側がどの段階で攻撃を遮断できるかを考える枠組みです。
・MITRE ATT&CK
実際に観測された攻撃者の行動パターンを体系化した「現実ベース」の知識ベース。攻撃者が“何をどうやって”行ったかを細かく分解し、防御や検知の改善に活用されます。
違い2:粒度と詳細さ
両者は「攻撃を段階的に捉える」という点では共通していますが、その細かさ(粒度)に大きな違いがあります。サイバーキルチェーンは、偵察・武器化・配信など7つの大まかなステップに攻撃を分類しており、全体の流れを把握しやすいのが特徴です。
一方、MITRE ATT&CKは14の戦術に加え、数百の技術・サブ技術が定義されており、攻撃の詳細をより具体的に分析・可視化できます。
このためMITRE ATT&CKは、防御体制のギャップ分析や検知ロジックの改善など、実務での活用に向いています。
| 項目 | サイバーキルチェーン | MITRE ATT&CK |
|---|---|---|
| アプローチ | 理論モデル(防御中心) | 実際の攻撃ログ・行動ベース |
| フェーズの粒度 | 7ステップ(Recon〜Impactなど) | 14戦術 × 数百の技術・サブ技術で詳細に分類 |
| 主な目的 | どの段階で攻撃を阻止するかを把握 | 攻撃者の行動を詳細に分析・検知・防御に活用 |
違い3:主な活用場
サイバーキルチェーンは、攻撃全体の流れを整理するモデルとして、セキュリティ教育や経営層への説明資料などに適しています。初学者にもわかりやすいため、脅威モデルの導入として使われるケースが多いです。
一方、MITRE ATT&CKは、実際の攻撃手法をベースにしているため、より実務的な用途に強みがあります。
たとえば、脅威ハンティングや検知ルールの設計、EDRやSIEMなどセキュリティ製品の評価・導入時に活用されています。
・サイバーキルチェーン
攻撃分析の初期フレームワークや、経営層へのリスク説明に適しています。
・MITRE ATT&CK
セキュリティ製品の検知ロジック設計、脅威ハンティング、検出ルールの改善など、実務レベルでの運用最適化に向いています。
MITRE ATT&CKは、実戦的な視点と高い分析力で、今日のサイバー攻撃対策において欠かせないフレームワークとなっています。
まとめ
この記事では、MITRE ATT&CK(マイター アタック)の基本概念について、幅広く解説しました。MITRE ATT&CKは、従来のセキュリティフレームワークでは見落とされがちだった「攻撃者の視点」を取り入れることで、防御の質と深さを一段階引き上げることができます。
日々のログ分析や製品評価だけでなく、セキュリティ戦略の策定や教育にも活用できる柔軟性を備えており、“守りから攻め”へとセキュリティの考え方を転換する鍵にもなり得ます。
今後のセキュリティ強化において、MITRE ATT&CKの理解と活用は避けて通れないものとなっていくでしょう。
企業は社会的責任をもって適切なセキュリティ対策を取り、サイバー攻撃に備えなければなりません。
サイバー保険に加入しておけば、万が一の際に生じる多大な経済的損失や労力から自社と従業員を守ることができます。この機会に検討してみてください。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
参照元:
MITRE ATT&CKは、サイバー攻撃技術を体系的に整理した知識ベースです。以下公式サイト等で最新情報を確認できます。
MITRE ATT&CK公式サイト
最も信頼性が高く、最新情報が得られる公式リソース。
https://attack.mitre.org/
MITRE ATT&CK 日本語化プロジェクト(非公式)
日本語で主要な戦術や技術を確認できるため、読者の理解をサポート。
https://www.attack-mitre-japan.com/
NTTデータ先端技術によるMITRE ATT&CK解説
信頼性が高く、日本企業の視点から解説しているため、読者にとって親しみやすい。
https://www.intellilink.co.jp/column/security/2020/060200.aspx
上記リンクは外部サイトへのリンクであり、当社はその内容について一切責任を負いかねます。リンク先の情報については、各サイトの運営者に直接お問い合わせください。
