はじめに
結論はシンプルです。MITRE ATT&CKは「製品をいくつ入れたか」を語るための表ではなく、「攻撃者が何を目的に、どの手段で動くか」を整理する知識ベースです。12
本稿では、MITRE ATT&CKのうちEnterpriseを前提に、Matrixの読み方、SOCや製品評価での使い方、ゼロトラスト設計とのつなぎ方、使うときの限界を整理します。なお、ATT&CKは継続的に更新されるため、本稿の参照前提は2026年3月15日時点の公開情報です。1
想定読者は次の通りです。
- SOCやCSIRTに関わる方
- SIEM、EDR、NDRの運用設計に携わる方
- ゼロトラストを攻撃者視点で整理したいエンジニア
要約すると次の通りです。
- ATT&CKは、攻撃者行動をTactic、Technique、Sub-technique、Procedureで整理する知識ベースです
- Matrixは順番固定の工程表ではなく、「目的」と「手段」を俯瞰する地図です
- 実務では、検知設計、製品評価、ゼロトラスト設計の共通言語として使うと効果が出やすいです
- ATT&CKだけで対策優先順位は決まらないため、自社の業務影響、既存統制、リスク評価と併用する必要があります
1. MITRE ATT&CKをまずどう理解すべきか
事実として、MITRE ATT&CKは「現実世界の観測に基づく攻撃者行動の知識ベース」です。MITREの公式説明では、Enterprise、Mobile、ICSの3ドメインがあり、各ドメインの中でTactic、Technique、Sub-techniqueなどを整理しています。本稿は、企業システムやクラウドを扱う現場で最も参照されやすいEnterpriseを対象にします。21
ATT&CKを読むときに、まず押さえたい用語は次の通りです。
| 用語 | 役割 | 実務での見方 |
|---|---|---|
| Tactic | 目的 | なぜその行動を取るのか |
| Technique | 目的を達成する方法 | どうやって実行するのか |
| Sub-technique | Techniqueの具体化 | どの実装パターンか |
| Procedure | 現実に観測された実装例 | 実際に誰がどう使ったか |
MITREのFAQでも、Tacticは「why」、Techniqueは「how」、Procedureは「観測された実装例」と整理されています。この違いを押さえるだけで、ATT&CKを単なる用語集ではなく、攻撃者の行動モデルとして読めるようになります。1
具体例として T1059 Command and Scripting Interpreter を見ると、PowerShellだけでなく、Windows Command Shell、Unix Shell、Python、JavaScript、Cloud APIなど複数のSub-techniqueが含まれます。つまり「PowerShell対策」だけで終えると、Technique全体を見誤る可能性があります。3
示唆として重要なのは、攻撃者は製品カテゴリではなく行動の連鎖で動く、という点です。Firewall、EDR、SIEMを個別最適で並べるだけでは、攻撃の途中工程にある空白が見えません。ATT&CKを使う意義は、その空白を「製品の有無」ではなく「攻撃プロセス上の欠落」として見つけられることにあります。
2. Matrixは「順番表」ではなく「目的と手段の地図」
ATT&CK Matrixの基本はシンプルです。横方向にTacticが並び、その列の中にTechniqueやSub-techniqueが配置されます。ただし、ここで誤解しやすい点があります。MITREのFAQでは、ATT&CKのTacticは順序固定ではなく、すべてのTacticが単一の侵入で必ず発生するわけでもないと明記されています。1
つまり、ATT&CK Matrixは「攻撃の正しい順番」を教えるものではなく、「攻撃者が持ちうる目的と手段の全体像」を把握するための地図です。実務では次の見方をすると迷いにくくなります。
| 見る観点 | 何を確認するか | 実務での問い |
|---|---|---|
| Tactic | 攻撃者の目的 | いま何を達成しようとしているか |
| Technique | 実現手段 | その目的をどう実行するか |
| Sub-technique | 具体パターン | どのログや挙動で観測しやすいか |
| Procedure Examples | 観測事例 | 現実の攻撃でどう使われたか |
ランサムウェア文脈でよくある読み方も、固定順ではなく「典型例」として扱うのが安全です。
| 典型的な局面 | Tactic | Techniqueの例 | 現場で見たいもの |
|---|---|---|---|
| 侵入直後の実行 | Execution | T1059 Command and Scripting Interpreter | 不審な powershell.exe や cmd.exe の起動 |
| 認証情報の窃取 | Credential Access | 資格情報ダンプ系Technique | 管理者権限の不自然な取得 |
| 横展開 | Lateral Movement | Remote Services系Technique | RDP、SMB、管理共有の異常利用 |
| 持ち出しや破壊 | Exfiltration / Impact | 圧縮、転送、暗号化系Technique | 大量転送、暗号化挙動、業務停止兆候 |
注意点は二つです。ひとつ目は、同じTechniqueでも複数の実装があることです。ふたつ目は、ひとつのログだけで「ATT&CKの箱を塗れた」と判断しないことです。MITRE自身も、100%カバーを目標にしないこと、Matrixだけに閉じないこと、ひとつのTechniqueを見つけたから終わりと考えないことを勧めています。2
3. 実務では「検知」「評価」「設計」の3用途で使う
MITRE ATT&CKの実務利用は多いですが、特に効果が出やすいのは次の3用途です。2
| 用途 | ATT&CKで見るもの | 期待できる効果 | 注意点 |
|---|---|---|---|
| SOC運用・脅威ハンティング | Technique、Data Sources、Detection Strategy | ルールの根拠を説明しやすい | 単なるタグ付けで終えない |
| 製品評価・アセスメント | 重要Techniqueへの対応状況 | どこが見えていてどこが見えていないかを比較できる | 順位表のように単純化しない |
| ゼロトラスト設計 | 止めたいTacticと保護対象 | 対策の目的を攻撃者視点で説明できる | 製品導入だけで完結させない |
SOC運用では、TechniqueページとData Sourcesページが実務に直結します。たとえばT1059には検知戦略や関連する挙動が整理されており、ATT&CKのData Sourcesでは「Process」「Script」「Command」など、どの種別の情報を集めるべきかを確認できます。34
製品評価でも、ATT&CKは有効です。ただし、使い方には注意が必要です。MITRE EngenuityのATT&CK Evaluationsは、実際の攻撃者行動を基にしたシナリオを、透明な条件下で検証する仕組みであり、「ベンダーの見せたいデモ」ではありません。一方で、同じ公式説明の中で、自社環境での性能、サポート品質、UI、コストは評価対象外とも明記されています。つまり、公開評価は強い判断材料ですが、最終判断そのものではありません。5
ゼロトラスト設計との接続でも、ATT&CKは役立ちます。NIST SP 800-207は、ゼロトラストを「ネットワーク境界」ではなく「ユーザー、資産、リソース」を中心に守る考え方として定義しています。この考え方は、ATT&CKで「どのTacticを減らしたいか」を考えるのと相性が良いです。6
以下は設計例です。組織のシステム構成によって最適解は変わります。
| 目的 | ATT&CK Tactic | 対応策の例 |
|---|---|---|
| 最初の侵入を減らす | Initial Access | MFA、条件付きアクセス、メール防御 |
| 認証情報悪用を抑える | Credential Access | 特権最小化、強い認証、端末監視 |
| 横展開を止める | Lateral Movement | マイクロセグメンテーション、管理経路分離 |
| 持ち出しを抑える | Exfiltration | DLP、CASB、異常転送監視 |
6DSのような独自フレームワークを使っている場合も考え方は同じです。各ダイヤルが「どの攻撃段階を弱めるための設計なのか」をATT&CKで説明できるようになると、経営層、情シス、SOCの会話が噛み合いやすくなります。
再現性を重視するなら、最初の一歩は小さく始めるのが安全です。前提条件は、Enterprise Matrixを参照できること、ATT&CK Navigatorをブラウザで開けること、自社の主要ログを3種類程度説明できることです。72
| 手順 | やること | 使う資料 | 出力 |
|---|---|---|---|
| 1 | 重要業務を1つ選ぶ | 自社の業務一覧 | どの業務を守るか |
| 2 | 想定する攻撃目的を3つ選ぶ | Enterprise Matrix | 優先Tactic |
| 3 | 重要Techniqueを5件前後選ぶ | Techniqueページ | 優先Technique一覧 |
| 4 | 既存ログと照合する | Data Sources、SIEM設定 | 見えているものと見えていないもの |
| 5 | Navigatorで可視化する | ATT&CK Navigator | 改善優先順位付きのギャップマップ |
この5手順なら、いきなり全Matrixを塗るよりも、短時間で「次に足すべきログ」「次に直すべきルール」が見えやすくなります。
4. ATT&CKだけで完結しない理由
ATT&CKは強力ですが、万能ではありません。MITREのFAQでは、ATT&CKは完全な一覧ではなく、公開されている脅威情報やインシデント報告を主な情報源としていると説明されています。未公開の手口や新興の攻撃は、まだ載っていない可能性があります。1
また、ATT&CKは対策そのもののチェックリストではありません。MITREのGet Startedでも、「100%カバーを目指さない」「ひとつのTechniqueを見つけただけで終わりにしない」「Matrixだけに閉じない」と明記されています。実務では、事業影響、資産重要度、既存統制、法令要件と併せて優先順位を決める必要があります。2
よく比較されるCyber Kill Chainとの違いも、ここで整理しておくと混乱しません。MITREのFAQでは、ATT&CKとCyber Kill Chainは補完関係にあり、ATT&CKのTacticは順序固定ではない一方、Cyber Kill Chainは高レベルな順序付きフェーズで攻撃を表すと説明されています。18
| 比較軸 | MITRE ATT&CK | Cyber Kill Chain |
|---|---|---|
| 主眼 | 攻撃者行動の詳細化 | 攻撃段階の高レベル整理 |
| 粒度 | Technique、Sub-technique単位まで細かい | フェーズ単位で粗い |
| 順序 | Tacticは順序固定ではない | フェーズは順序型 |
| 向く用途 | 検知設計、アセスメント、技術対話 | 全体説明、経営層共有 |
おわりに
MITRE ATT&CKの価値は、攻撃を「製品の穴」ではなく「攻撃者の行動」として捉え直せることにあります。Matrixを読むだけでも全体像は見えますが、実務で効くのは、自社のログ、ルール、設計判断にATT&CKを接続したときです。
次にやるべきことは三つです。第一に、重要業務を一つ選び、その業務に効くTacticとTechniqueを絞ることです。第二に、ATT&CK Navigatorで現状のログと検知ルールを可視化することです。第三に、見えていないTechniqueを3件だけ選び、ログ追加かルール改善のどちらで埋めるかを決めることです。ここまでできると、ATT&CKは「知っている言葉」から「運用を前に進める共通言語」に変わります。
-
MITRE ATT&CK|Frequently Asked Questions https://attack.mitre.org/resources/faq/ ↩ ↩2 ↩3 ↩4 ↩5 ↩6 ↩7
-
MITRE ATT&CK|Get Started https://attack.mitre.org/resources/ ↩ ↩2 ↩3 ↩4 ↩5 ↩6
-
MITRE ATT&CK|Technique T1059: Command and Scripting Interpreter https://attack.mitre.org/techniques/T1059/ ↩ ↩2
-
MITRE ATT&CK|Data Sources https://attack.mitre.org/datasources/ ↩
-
MITRE Engenuity|ATT&CK Evaluations Methodology Overview https://evals.mitre.org/methodology-overview/ ↩
-
NIST|SP 800-207 Zero Trust Architecture https://csrc.nist.gov/pubs/sp/800/207/final ↩
-
MITRE ATT&CK|ATT&CK Data & Tools https://attack.mitre.org/resources/attack-data-and-tools/ ↩
-
Lockheed Martin|Cyber Kill Chain https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html ↩