「MITREインパクトレポート」から読み取れる脅威インフォームドディフェンスの必要性

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「MITREのCTIDとフォーティネットの協力による脅威インフォームドディフェンスの推進」を再編集したものです。

MITRE Center for Threat-Informed Defense(CTID)は、サイバーセキュリティにとって極めて重要な時期に、最新のインパクトレポートを発表しました。防御者は、もはや孤立した攻撃、ツール、または制御のギャップに直面しているのではなく、クラウド環境、IDシステム、エンドポイント、アプリケーション、インフラストラクチャ、そして増加するAI駆動型ワークフローなど、複数のドメインにわたって活動する適応性のある敵対者に直面しています。

セキュリティチームには、敵対者の行動を検出エンジニアリング、制御検証、脆弱性の優先順位付け、クラウドセキュリティ、および全体的なセキュリティプログラムの開発と結び付ける実用的な方法が必要です。

フォーティネットとMITRE CTIDのパートナーシップは、その目標をサポートしています。CTIDは、MITREが運営する非営利のR&Dコンソーシアムであり、その研究は世界中の防御者の利益のために公開されています。2025年のインパクトレポートは、そのミッションの規模を反映しており、2019年のCTID立ち上げから2025年のプロジェクトまで、5大陸38カ国から1,100人以上のリサーチャーと、50以上の参加組織が52のR&Dプロジェクトに貢献しています。

フォーティネットは、CTIDリサーチパートナーとしてその活動に参加できることを誇りに思います。この協力を通じて、フォーティネットは脅威インテリジェンス、セキュリティリサーチ、運用の専門知識、および防御者重視の視点を、実用的でスケーラブルかつアクセス可能な脅威インフォームドディフェンスを強化するプロジェクトに提供しています。

脅威インフォームドディフェンスに協力が必要な理由

CTIDの重要性は、研究の生成を超えています。その真の価値は、セキュリティ実務者、リサーチャー、ベンダー、金融機関、医療機関、テクノロジー企業、非営利団体を結集し、単一の組織では効率的に解決できない課題に協力して取り組むことにあります。

脅威インフォームドディフェンスは、共通の理解に依存しています。MITRE ATT&CKは、防御者に敵対者の行動を説明するための共通言語を提供します。それを基に、CTIDは組織がこの言語を実際のセキュリティ決定に適用するのを支援する実用的なリソースを提供します:強化すべき検出、検証すべき制御、優先順位を付けるべき脆弱性、そして最初に対処すべきプログラムのギャップを特定します。

フォーティネットにとって、これは当社のサイバーセキュリティ哲学と密接に一致しています。防御者には、統合された可視性、脅威インテリジェンス、自動化、そして連携して機能するセキュリティ制御が必要です。また、これらの機能を、これらの制御が対象とする敵対者の行動に結び付けるフレームワークも必要です。

クラウドセキュリティを脅威インフォームドな規律に変える

クラウド環境は、多くの場合、チェックリスト、ベストプラクティス、および制御フレームワークを使用して保護されています。このようなツールは有用ですが、チームに基本的な質問を残すこともあります: これらの制御は、実際の敵対者の行動にどのようにマッピングされるのか?

クラウドセキュリティのための脅威インフォームドディフェンスプロジェクトは、Cloud Security Alliance(CSA)のCloud Controls Matrix v4.1をMITRE ATT&CKにマッピングすることで、その質問に答えるのに役立ちます。このプロジェクトへのフォーティネットの貢献は、組織が仮定ではなく実世界の攻撃データに基づいてクラウドセキュリティの決定を行う方法を明確にします。
 
防御者にとって、その接続を確立することは極めて重要です。これにより、クラウドセキュリティチームは、どの制御が特定の行動に対処するかを判断し、堅実なカバレッジがある領域を特定し、さらなる投資が必要な箇所を見つけることができます。このアプローチは、クラウドセキュリティを単に準拠規格要件を満たすことを超えて、リスクを最小化し、防御の有効性を確認することを目的とした、より運用的な戦略を重視するものへと移行させます。

プログラムレベルでの脅威インフォームドディフェンスの測定

脅威インフォームドディフェンスは、技術的な規律であると同時に、プログラムレベルのアプローチでもあります。組織は、サイバー脅威インテリジェンス、防御戦略、テストと評価にわたって、セキュリティイニシアチブの成熟度を評価する必要があります。

MITRE INFORMは、組織が脅威インフォームドポスチャを評価し改善するための構造化されたフレームワークを提供します。プロジェクトリサーチパートナーとして、フォーティネットはセキュリティリーダーが投資を向ける先とプログラムの成熟度を高める方法を決定するのを支援しています。 

これは、技術的なセキュリティの取り組みをビジネス上の意思決定に結び付けなければならないリーダーにとって最も重要です。INFORMは、チームを脅威インフォームドディフェンスを主張することから測定することへと移行させ、強み、ギャップ、次に改善すべき点を明確に可視化します。

現代の検知における曖昧さの軽減

現代の攻撃者は、通常の活動と区別することが困難な戦術をますます使用しています。Living-off-the-land、管理ツール、スクリプト化されたアクション、アイデンティティに基づく移動などの手法は、すべて単独では無害に見えるシグナルを生成する可能性があります。この曖昧さは防御者にとってノイズを増やし、攻撃者により多くの機会を与えます。

曖昧な手法 プロジェクトは、ATT&CK手法にコンテキスト分析を適用することでこの問題に対処し、一見無害な動作の背後にある悪意のある意図を判断するのに役立ちます。フォーティネットはプロジェクトリサーチパートナーであり、私がCTIDインパクトレポートで述べたように: 「現代の攻撃者は、無害な動作と悪意のある行動の間のグレーゾーンで意図的に活動しており、ATT&CKパターンの高度な分析を研究の贅沢ではなく運用上の必要性にしています。」

これは、脅威インフォームドディフェンスが特に効果的であることを証明する場面です。目的は単により多く検知することではなく、検知の質を向上させることです。コンテキストは、疑わしいイベントを防御可能な結論に変えるのに役立ち、アナリストが誤検知を減らし、最も重要な活動に集中できるようにします。

攻撃を孤立したイベントではなくシーケンスとして理解する

個々のATT&CK手法は有用ですが、攻撃者が単独で活動することはほとんどありません。代わりに、彼らは一連の行動に従います:アクセスを取得し、権限を昇格させ、検知を回避し、横方向に移動し、時間をかけて目標に向かって取り組みます。

Attack Flow v3 により、防御者は攻撃者の動作の連鎖を文書化し、可視化し、伝達することができます。プロジェクトリサーチパートナーとして、フォーティネットは チームがフローを構築し提示する方法を洗練させ、パターンをより迅速に表面化する新しい可視化機能を備えたリリースに貢献しました。 

セキュリティチームにとって、これは脅威インフォームドディフェンスをステークホルダーレベル全体で実践することを意味します。アナリストはフローを使用して攻撃者の動作を深く理解します。検知エンジニアはカバレッジのギャップを特定します。リーダーは、防御策が実際の攻撃経路とどのように整合しているかを直接確認できます。

脅威インフォームドディフェンスの未来を支援する

「フォーティネットは、センターで私たちが共に行う作業に深さと真のコミットメントの両方をもたらしています。複数のCTID研究イニシアチブにわたる彼らの関与は、グローバルセキュリティリーダーが脅威インフォームドディフェンスを単に支持するのではなく、運用化する方法を反映しています。そのような実践的な貢献こそが、あらゆる場所の防御者のために実践を前進させるものです」と、MITREのチーフサイバーストラテジスト兼脅威インフォームドディフェンスプログラム責任者であるLeslie Z. Andersonは述べています。

CTIDインパクトレポートは、脅威インフォームドディフェンスの未来についても概説しています。その2026年R&Dロードマップは、防御者が攻撃者の動作を大規模に運用化するのを支援することに焦点を当てており、検知の強度、インサイダー脅威の減災、セキュリティ機能マッピング、プログラムの成熟度、詐欺防止、アタックフロー、AIセキュリティなどの分野をカバーしています。 

この方向性は、セキュリティチームが直面する課題と一致しています。今日の防御者には、使用するのに十分実用的で、さまざまな設定に適応でき、より大きなコミュニティがアクセスできる研究が必要です。さらに、インテリジェンス、コントロール、検知、テスト、戦略的決定を統一されたセキュリティ戦略に組み合わせる方法が必要です。

フォーティネットのCTIDとの協力は、この目標と一致しています。また、統合されたテクノロジー戦略、AI強化オペレーション、FortiGuard Labsの脅威インテリジェンス、そしてネットワーク、エンドポイント、クラウド環境、アプリケーション、ユーザー保護にまたがる高度なセキュリティ機能を通じて、セキュリティ成果を向上させるという当社のより広範な取り組みを強化します。

攻撃者に対する形勢逆転

フォーティネットとMITRE CTIDのコラボレーションは、効果的なサイバー防御は攻撃者が実際にどのように活動するかに基づいていなければならないという共通の信念を反映しています。それがこの関係の真の価値です。これは単なるコラボレーションのためのコラボレーションではありません。

攻撃者がより適応的、自動化され、分散化するにつれて、防御側は脅威インテリジェンスを行動に変換する実用的なフレームワークを必要としています。防御側は、実際の技術に対してコントロールを評価し、クラウド防御を強化し、検出品質を向上させ、時間の経過とともにセキュリティプログラムを成熟させる方法を必要としています。

MITRE CTIDの取り組みは、その基盤を提供するのに役立ちます。フォーティネットの参加は、より広範なコミュニティに利益をもたらす研究に、運用セキュリティの専門知識、脅威インテリジェンス、そして防御側に焦点を当てた視点をもたらします。

両組織間のコラボレーションは、防御側がより迅速に行動し、より良い意思決定を行い、共通の敵に対して形勢を逆転させることを支援するように設計されています。

MITRE CTIDを含む、官民両セクターのesteemed organizationsとのコラボレーションに対するフォーティネットのコミットメントについて詳細をご覧ください。

■関連サイト

本記事はアフィリエイトプログラムによる収益を得ている場合があります