※本記事にはアフィリエイトリンクが含まれます。詳しくは広告掲載についてをご覧ください。
MITRE ATT&CKは、サイバー攻撃の戦術・技術・手順(TTP)を体系化したナレッジベースです。しかし「フレームワークの存在は知っているが、実務でどう使えばいいかわからない」という声は少なくありません。本ガイドでは、セキュリティ運用(SOC)・インシデント対応・脅威インテリジェンス・レッドチーム演習の4つの実務領域で、ATT&CKをどう活用するかを具体的に解説します。
※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。
MITRE ATT&CKとは — 30秒で理解する
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、実際の攻撃観測に基づいて構築されたフレームワークです。攻撃者の行動を14の戦術(Tactics)と数百のテクニック(Techniques)に分類し、「攻撃者が何を目的に(戦術)、どのように(テクニック)攻撃するか」を構造化しています。
- 戦術(Tactics):攻撃者の目的。「初期アクセス」「実行」「持続性」「権限昇格」など14段階(→ Tactics一覧)
- テクニック(Techniques):目的を達成する手段。「PowerShell」「フィッシング」「WMI」など(→ Techniques一覧)
- サブテクニック:テクニックの詳細な分類。例:T1059.001(PowerShell)はT1059(Command and Scripting Interpreter)のサブテクニック
- マトリクス:戦術×テクニックの対応表。一目で攻撃の全体像を把握できる(→ Enterpriseマトリクス)
活用領域1:SOC(セキュリティ運用)での活用
SOCチームにとってATT&CKは、検知ルールの網羅性を評価し、アラートのトリアージ精度を向上させるための基盤です。
検知カバレッジの可視化
ATT&CKマトリクス上に、自社のSIEM/EDRで検知可能なテクニックをマッピングします。これにより「どの攻撃手法に対して検知能力があるか」「どこにギャップがあるか」を一目で把握できます。
- ステップ1:ATT&CK Navigatorで空のレイヤーを作成
- ステップ2:既存の検知ルール(Sigma、Splunk SPL、Elastic KQL等)をATT&CKテクニックIDにマッピング
- ステップ3:カバーされているテクニックを色分け(緑=検知可、黄=部分的、赤=未対応)
- ステップ4:ギャップの優先順位付け — 自組織を狙う攻撃グループが使うテクニックを優先的にカバー
アラートトリアージの効率化
アラートにATT&CKテクニックIDを付与することで、単発のアラートを攻撃チェーン(Kill Chain)の文脈で評価できるようになります。例えば、T1059.001(PowerShell)のアラート単体は誤検知の可能性がありますが、T1566(フィッシング)→ T1204(ユーザー実行)→ T1059.001という連鎖が観測されれば、実際の攻撃の可能性が高いと判断できます。
活用領域2:インシデント対応での活用
インシデント発生時、ATT&CKは「攻撃者が次に何をする可能性があるか」を予測し、調査範囲を効率的に絞り込むための羅針盤となります。
攻撃の進行段階の特定
観測されたIOC(Indicator of Compromise)やアーティファクトをATT&CKテクニックにマッピングすることで、攻撃がどの段階にあるかを特定します。
- PowerShellの不審な実行を検知 → Execution(実行)段階
- レジストリのRun Key変更を発見 → Persistence(持続性)段階
- Mimikatz痕跡を検出 → Credential Access(認証情報アクセス)段階
- PsExecによる横展開 → Lateral Movement(横展開)段階
次のアクションの予測
攻撃の現在地がわかれば、ATT&CKマトリクスの次の列(戦術)のテクニックを重点的に調査します。例えば「Credential Access」段階の攻撃が確認された場合、次は「Lateral Movement」で使われるテクニック(T1021 Remote Services等)のログを集中的に確認します。
活用領域3:脅威インテリジェンスでの活用
CTI(Cyber Threat Intelligence)チームは、ATT&CKを「攻撃者プロファイルの共通言語」として活用します。
攻撃グループのプロファイリング
ATT&CKは主要なAPTグループごとに使用するテクニックを公開しています。自組織の業種・地域を標的とするグループを特定し、そのグループが多用するテクニックへの防御を優先的に強化します。
- 例:日本の製造業を標的とするAPT10は、T1566(フィッシング)、T1059.001(PowerShell)、T1003(OS Credential Dumping)を多用 → これらのテクニックの検知を最優先で整備
- ツール:ATT&CK NavigatorでGroupレイヤーを重ね合わせ、複数グループに共通するテクニックを特定
脅威レポートの構造化
脅威インテリジェンスレポートにATT&CKテクニックIDを付与することで、「この脅威は自社の検知能力でカバーできているか?」を即座に評価できます。ベンダーレポートのTTPをATT&CKにマッピングする習慣をつけましょう。
活用領域4:レッドチーム・ペネトレーションテストでの活用
レッドチームは、ATT&CKを攻撃シナリオの設計と結果報告の共通フレームワークとして活用します。
攻撃シナリオの設計
実際の攻撃グループのTTPをベースにシナリオを設計することで、現実的な脅威に対する防御力を検証できます。ATT&CKのグループページから対象グループのテクニック一覧を取得し、攻撃チェーンを構築します。
結果の報告と改善提案
演習結果をATT&CKマトリクスにマッピングして報告することで、経営層や防御チームに「どの攻撃段階が検知できたか」「どこで攻撃者の侵入を許したか」を視覚的に伝えられます。
ATT&CK活用に役立つツール
| ツール | 用途 | 提供元 |
|---|---|---|
| ATT&CK Navigator | マトリクスの可視化・カバレッジ分析 | MITRE(無料) |
| MITRE D3FEND | 防御テクニックのマッピング | MITRE(無料) |
| Sigma Rules | 汎用検知ルール(ATT&CKタグ付き) | SigmaHQ(OSS) |
| Atomic Red Team | テクニック単位のテスト実行 | Red Canary(OSS) |
| CALDERA | 自動化された敵対シミュレーション | MITRE(無料) |
導入ステップ — 明日から始めるATT&CK活用
- Week 1:ATT&CKマトリクスの基本構造(戦術・テクニック・サブテクニック)を理解する → Tactics一覧・Techniques一覧を一読
- Week 2:自社のSIEM/EDRの検知ルールをATT&CKテクニックにマッピングし、カバレッジを可視化
- Week 3:自組織を狙う攻撃グループを特定し、そのTTPと検知カバレッジのギャップを分析
- Week 4:優先度の高いギャップに対して、Sigma RulesやAtomic Red Teamを使って検知ルールを追加・テスト
おすすめセキュリティ対策ツール
ATT&CKを活用したセキュリティ運用には、テクニック検知に対応したエンドポイント保護が不可欠です。
- ESET(イーセット) — 軽量でコスパ重視。中小企業のエンドポイント保護に
- ウイルスバスター — 日本語サポート充実。国内企業導入実績多数
- Norton(ノートン) — 世界最大手。VPN含む総合セキュリティ
※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。
まとめ
- SOC:検知カバレッジの可視化とアラートトリアージの文脈化
- インシデント対応:攻撃段階の特定と次のアクション予測
- 脅威インテリジェンス:攻撃グループのプロファイリングと脅威レポートの構造化
- レッドチーム:現実的なシナリオ設計と結果の視覚的報告
ATT&CKは「知っている」だけでは価値を発揮しません。自組織の環境に合わせてマッピング・分析・改善のサイクルを回すことで、初めて実務レベルの防御力向上につながります。
参考資料:MITRE ATT&CK® 公式サイト / ATT&CK Navigator / 情報セキュリティ10大脅威 2026(IPA)
Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。