[新製品・サービス]

2021年11月11日(木)IT Leaders編集部

リスト

　NRIセキュアテクノロジーズの「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス」は、組織の既存の情報セキュリティ対策で、どういったサイバー攻撃を防御できるのかについて、「MITRE ATT&CK（マイターアタック）」を用いながらNRIセキュアのコンサルタントがハンズオフ（机上評価）を行うサービスである。

　MITRE ATT&CKは、米国の非営利組織マイター（MITRE）が発行・運営するサイバー攻撃対策のフレームワーク／ナレッジベースで、ここで定義されたサイバー攻撃手法を評価に利用する。防御が不十分な範囲を明確にした後、攻撃者が狙う可能性の高い攻撃手法を導き出す。そのうえで、攻撃を検知して防御するための解決策を提案する（図1）。

図1：「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス」のカバー範囲（出典：NRIセキュアテクノロジーズ）
拡大画像表示

　「ベースラインアプローチでの評価は実施したが、特定の脅威・攻撃に対して、現状の対策で防御できるかどうか確かめたい」「情報システムに対してリスクベースアプローチでの評価を実施したいが、スキルや体制が十分でない」「ペネトレーションテストのような特定の情報システム向けの評価だけでは、組織全体としてのサイバー攻撃への対策状況が把握しきれない」といった要望や課題にこたえる。

　リスクベースアプローチに基づき、ハンズオフによる評価を行う。「リスクベースアプローチは、ベースラインアプローチでの評価と比べると、防御可能な範囲を可視化し、実際の攻撃に即して評価を行うため、即効性のある対策案を導き出せる。ハンズオン（実機評価）のように実際のシステムをテストする必要がなく、組織内の調整など準備にかかる負荷や期間を抑えられる」（NRIセキュア）。

　MITRE ATT&CKは、実際に観測した攻撃者の戦術とテクニックを分類してまとめている。14個の「Tactics（戦術・目的）」と、188個の「Techniques（攻撃手法）」、379個のサブテクニックを定義している（「MITRE ATT&CK version 10.0」による分類）。世界中の企業・組織や政府、サイバーセキュリティのコミュニティなどが活用している。主要なセキュリティ対策製品の検知能力を測るための指標として用いられている。

　サービスを担当するのは、「MITRE ATT&CK Defender認定資格」を持つNRIセキュアのコンサルタント。サイバー攻撃への対策状況について、組織固有のシステム環境とセキュリティ事情を踏まえたアセスメントを実施するほか、実践的な改善方針案を提示する。

　サービスの提供の背景としてNRIセキュアは、高度化・巧妙化するサイバー攻撃によって、情報漏洩などのセキュリティ事故が多発していることを挙げる。同社によると、「CIS Controls」「NIST Cybersecurity Framework」「ISO27001/27002」などの公的基準を参照し、ベースラインアプローチによる自組織の情報セキュリティ対策状況を評価する企業や団体が増えているという。加えて、「侵入テストを行うペネトレーションテストやレッドチーム演習などのリスクベースアプローチを用いて自組織のセキュリティレベルを評価するニーズも高まっている」（同社）。