CIO時代(2005〜2008年)、私はセキュリティ投資の費用対効果を経営陣に説明する立場にいました。当時の経営者にとってセキュリティ対策は「コスト」でしかなく、理解を得るのは容易ではありませんでした。私が試みたのは「同業他社より優れたセキュリティを差別化のひとつとしてアピールし、顧客獲得につなげる」という提案でしたが、そもそも「何から守るべきか」を具体的に示せなかったのが正直なところです。しかし現代のセキュリティ対策では、「誰が、何を目的に、どんな手順で攻撃してくるか」を事前に把握したうえで、優先順位をつけて防御を固めるアプローチが主流になっています。それを可能にするのがサイバー脅威インテリジェンス(CTI: Cyber Threat Intelligence)とMITRE ATT&CKフレームワークです。
2025年5月に成立したサイバー対処能力強化法(通称:能動的サイバー防御法)は、重要インフラ事業者に対して政府への脅威情報共有を義務づける、日本初の本格的なCTI法制です。この法律の施行(2026年中)に合わせ、CTIは「大企業の専門チームだけが使うもの」から「インシデント対応の全体設計に組み込まれるべき知識」に変わりました。
この記事では、SC試験で問われるCTIの種類とMITRE ATT&CKの構造を体系的に解説します。
この記事で学べること
- CTIの4種類(戦略的・作戦的・戦術的・技術的)と、それぞれの受け手・用途
- IoC(侵害指標)とIoA(攻撃指標)の違いと実務上の使い分け
- MITRE ATT&CKの14戦術と、ディフェンダーとしての活用法
- 能動的サイバー防御法がCTI実務に与えるインパクト
- SC試験でのCTI・ATT&CK関連の出題傾向
なぜ今、日本でCTIが必須になったのか
CTIは「高度な組織だけが使う特別な手法」ではなく、インシデント対応・SOC運用・脆弱性管理といった日常業務の土台になりつつあります。その背景に、法制度の変化と攻撃の多様化という2つの潮流があります。
能動的サイバー防御法が変えるセキュリティの地図
2025年5月16日、サイバー対処能力強化法が成立し、同年5月23日に公布されました。この法律の核心は「官民の脅威情報共有の制度化」です。大部分の施策は公布から1年6か月以内、通信情報の利用に関する施策は2年6か月以内に施行されます。
主な義務と権限の概要:
- 電気・ガス・金融・通信など15業種・約257社の基幹インフラ事業者は、自社システムへのサイバー攻撃を政府(国家サイバー統括室)に届け出る義務を負う
- 政府は届出情報・通信情報・外国政府からの情報を統合分析し、被害が予想される事業者へ脅威情報を先手で共有する
- 政府は攻撃インフラに対して「アクセス・無害化措置」を実施できる(能動的防御権限の付与)
SC試験の観点から重要なのは、「脅威情報の収集・分析・配布というCTIサイクルが法的インフラとして整備された」という点です。ISACのような任意の情報共有から、法定の義務・権限体系へと移行した転換点として押さえておく必要があります。
Anthropic調査が示すAI時代の攻撃手法とATT&CK
2026年6月3日、AnthropicはClaude APIを悪意ある活動に悪用したとして2025年3月から2026年3月の1年間に凍結した832件のアカウントを分析し、攻撃手法をMITRE ATT&CKにマッピングした調査結果を公表しました。
主な知見:
- 560件(67.3%)がAIをマルウェア・フィッシングツールの作成に活用
- 54件(6.5%)がラテラルムーブメント(横展開)の計画補助にAIを活用
- ATT&CKへのマッピングにより、攻撃フローの前半段階(侵入準備からペイロード実行にかけて)でAI活用が集中していることが判明
この調査が示す教訓は2点あります。「AIツールが攻撃者のTTP(戦術・テクニック・手順)の高度化を加速させている」こと、そして「MITRE ATT&CKフレームワークはAI時代の攻撃手法の可視化にも有効である」ことです。
日本を狙うAPTグループの現実
トレンドマイクロの2025年版レポートによれば、日本の組織を標的にするAPTグループが多様化しています。
- APT40(中国背景): 海事・エンジニアリング・防衛産業を標的とし、関連する企業・研究機関・政府機関に対して長期潜伏型の標的型攻撃を展開する
- APT41(中国背景): テクノロジー・医療・通信分野を中心に標的とし、国家主導のスパイ活動と金銭目的のサイバー犯罪を併行させる点が特徴
- Earth Koshchei(ロシア背景): 2024年から日本を明示的に標的とした証跡が確認された。RDP(Remote Desktop Protocol)を悪用したラテラルムーブメントを特徴とする
- Lazarus Group(北朝鮮背景): 暗号資産交換所・金融機関への攻撃で継続的に観測される
学習を始めたばかりの頃に陥りやすい誤解が「APTは特定の業種にしか関係ない」という思い込みです。MITRE ATT&CKを使えば「同じテクニックを使う複数のAPTグループ」を横断的に把握でき、自組織が狙われる可能性を客観的に評価できます。
サイバー脅威インテリジェンス(CTI)の全体像
CTIは「生のデータ(ログ、IOC)」と「意思決定に使える情報(インテリジェンス)」の区別から始まります。単なる脅威情報の収集ではなく、分析・文脈付け・配布までを含む一連のプロセスがCTIです。
CTIの定義と4つの種類
英国国家サイバーセキュリティセンター(NCSC)の分類を踏まえ、CTIは受け手と目的によって4種類に整理されます。
| 種類 | 受け手 | 時間軸 | 内容例 |
|---|---|---|---|
| 戦略的(Strategic) | 経営層・取締役会 | 長期(月〜年) | 業界別脅威トレンド・地政学的リスク・投資判断 |
| 作戦的(Operational) | CISO・セキュリティ管理者 | 中期(週〜月) | 特定のAPTキャンペーン・攻撃インフラの詳細 |
| 戦術的(Tactical) | SOCアナリスト・インシデント対応者 | 短期(日〜週) | TTP(戦術・テクニック・手順)・攻撃フロー |
| 技術的(Technical) | SIEMエンジニア・ファイアウォール管理者 | リアルタイム | IOC(IPアドレス・ドメイン・ハッシュ値) |
SC試験で問われやすいのは「どの種類のCTIを誰に提供するか」という判断です。「CISO向けに悪意あるIPアドレスのリストを提供した」という設問は誤りで、正しくは「技術的インテリジェンスをSIEMエンジニアやファイアウォール管理者に提供した」となります。
![CTIの4種類(戦略的・作戦的・戦術的・技術的)と各受け手・内容を示す比較図]](https://bksuccess.net/wp-content/uploads/2026/06/cyber-threat-intelligence-mitre-attack_02-1024x572.jpg)
IoC(侵害指標)とIoA(攻撃指標)の違い
CTIの実務で混同されやすいのがIoC(Indicators of Compromise:侵害指標)とIoA(Indicators of Attack:攻撃指標)です。
IoC(侵害指標):攻撃が「すでに起きた」証拠
- 悪意あるIPアドレス・ドメイン名
- マルウェアのハッシュ値(MD5・SHA-256)
- C2サーバーへの通信パターン
- レジストリの改変・不審なファイルパス
IoA(攻撃指標):攻撃が「まさに進行中」または「起こりつつある」兆候
- 通常ありえない時間帯の特権ユーザーのログイン
- ペネトレーションツール(Mimikatz等)の実行
- 大量の規則的なDNSクエリ(C2通信のビーコン特性)
- 内部スキャン・ラテラルムーブメントの兆候
IoC(既知の悪意あるシグネチャ)ベースの対策だけでは「既知の脅威」しか防げません。IoAを活用してTTPレベルで検出することで、シグネチャ未登録の未知の攻撃にも対応できるのです。これがEDR(エンドポイント検出・応答)やXDR(横断的検出・応答)が従来のアンチウイルスを置き換えつつある理由のひとつです。
また、「TTPは変化しにくく、IOCは変化しやすい」という性質の非対称性がSC試験で問われます。攻撃者はIPアドレスやドメインを頻繁に変えますが、攻撃の手順(TTP)はすぐには変えられません。TTP情報のほうが長期的な防御価値が高い理由はここにあります。
脅威情報を共有する仕組み:ISACとSTIX/TAXII
ISAC(Information Sharing and Analysis Center:情報共有・分析センター)は、業種ごとに組織されたサイバー脅威情報共有の枠組みです。
- 金融ISAC(FS-ISAC): 金融機関間で不審な取引・フィッシングドメインを共有
- 電力ISAC(E-ISAC): 電力会社間でICS/SCADA狙いの脅威情報を共有
- 医療ISAC(H-ISAC): 病院・医療機器ベンダー間でランサムウェア情報を共有
日本ではJ-CSIP(サイバー情報共有イニシアティブ)がIPAを運営主体として同様の機能を担っています。
脅威情報の機械処理・自動共有を可能にする標準規格として以下の2つが重要です:
- STIX(Structured Threat Information eXpression): 脅威情報を機械可読なJSON形式で記述するための標準フォーマット
- TAXII(Trusted Automated eXchange of Intelligence Information): STIXデータを組織間で安全に転送するための通信プロトコル
ISACやSOAR(セキュリティオーケストレーション・自動化・対応)と連携でSTIX/TAXIIが使われるという構図が、SC試験の記述問題で問われることがあります。
MITRE ATT&CKフレームワーク完全解説
MITRE ATT&CKは、MITREが2013年に開始した「実際に観測された攻撃者の行動を戦術・テクニックに分類したナレッジベース」です。無償公開されており、EDR・SIEM・SOARベンダーの多くが検出ルールのマッピング基盤として採用しています。Enterprise・Mobile・ICSの3つのマトリクスが存在し、SC試験では主にEnterpriseマトリクスが出題対象です。
ATT&CKの基本構造:14の戦術とテクニック
ATT&CK Enterpriseマトリクスは14の戦術(Tactic)で構成されます(最新バージョン時点)。「戦術」は攻撃者の「目的(WHY)」を表し、「テクニック」は「手段(HOW)」を表します。各戦術の下に複数のテクニックがあり、さらに詳細な「サブテクニック」が定義されており、年2回の更新で継続的に追加されています。
ATT&CK Enterprise 14戦術(攻撃フロー順)
- Reconnaissance(偵察) — OSINT・能動的スキャンによる標的情報の収集
- Resource Development(リソース開発) — 攻撃インフラの構築(ドメイン取得・マルウェア開発)
- Initial Access(初期アクセス) — 最初の侵入口(スピアフィッシング・脆弱性悪用)
- Execution(実行) — ペイロードの実行(PowerShell・コマンドラインインタープリタ)
- Persistence(永続化) — 再起動後も維持(スタートアップへの登録・バックドア設置)
- Privilege Escalation(権限昇格) — 管理者権限の取得(Pass-the-Hash・トークン窃取)
- Defense Evasion(防御回避) — セキュリティ製品の回避(ログ削除・プロセス偽装)
- Credential Access(認証情報アクセス) — パスワード・ハッシュの窃取(Mimikatz・キーロガー)
- Discovery(発見) — 内部ネットワークの探索(ポートスキャン・Active Directory列挙)
- Lateral Movement(横展開) — 他システムへの移動(RDP・Pass-the-Hash)
- Collection(収集) — 標的データの収集(ファイル・メール・スクリーンショット)
- Command and Control(コマンド&コントロール) — 攻撃インフラとの通信(DNS over HTTPS・Cobalt Strike)
- Exfiltration(情報流出) — 収集データの外部送出(暗号化・スロットリング)
- Impact(影響) — 最終目標の達成(ランサムウェア暗号化・データ破壊・DDoS)
テクニックIDの読み方:「T1566」のように「T+数字4桁」で表し、サブテクニックは「T1566.001」のように続きます。T1566はフィッシング(Phishing)テクニックを指し、スピアフィッシングはそのサブテクニック(T1566.001:Spearphishing Attachment、T1566.002:Spearphishing Link 等)として分類されます。
代表的なAPTグループのTTP事例
MITRE ATT&CKのWebサイトには各APTグループのTTPがグループページとして整理されており、使用するテクニックIDを参照できます。
APT41(Winnti Group:中国背景)の代表的TTP:
- スピアフィッシング(T1566)で初期アクセスを確立
- プロセスインジェクション(T1055)で正規プロセスに偽装して防御回避
- RDP(T1021.001)でラテラルムーブメントを実施
- Webサービス経由(T1567)でC2通信を確立
Earth Koshchei(ロシア背景)の代表的TTP:
- 正規のRDPクライアントを悪用したRDPハイジャック(T1563.002)
- Windowsのビルトインツールのみを使う「Living-off-the-Land(LOL)」手法で防御回避
- 複数のVPNサービスをレイヤー化してC2インフラを隠蔽
同じ「RDP悪用(T1021.001)」というテクニックを複数のグループが使っている場合、防御側は「RDPのログ監視と不要なRDPの無効化」という対策が複数の脅威アクターに対して有効であることを特定できます。これが「脅威アクターをATT&CKでマッピングする実務価値」です。
ディフェンダーのためのATT&CK活用法
ATT&CKは攻撃者の手法を記述しますが、ディフェンダーにとっての主たる用途は防御ギャップ分析です。
主な活用方法:
- SIEMルールのATT&CKマッピング — 現在の検出ルールが14戦術のどこをカバーしているかを可視化し、空白のある戦術を補強する
- ペネトレーションテストのシナリオ設計 — ATT&CKのテクニックを使ったレッドチーム演習で、実際に防御が機能するかを検証する
- 脅威ハンティングの基点 — 「このグループが使うテクニックは自社環境で検出できるか?」を起点に能動的に脅威を探す
- インシデント後のroot cause分析 — 攻撃者が使ったテクニックを同定し、再発防止策をATT&CKのミティゲーション(緩和策)で体系化する
学習を始めたばかりの人が陥りやすい誤解は「ATT&CKに記載されているすべてのテクニックを防がなければならない」という思い込みです。現実的なアプローチは「自社の業種・規模・アセットを狙う可能性が高い脅威アクターのTTP」に絞って優先順位をつけることです。対応できないテクニックを洗い出し、リスクを可視化して経営層に説明するのがATT&CKの主たる使い方です。
CTIの実務活用:SOC・インシデント対応・脅威ハンティング
CTIは「収集して終わり」ではなく、活用されて初めて価値を持ちます。SOC(セキュリティオペレーションセンター)・インシデント対応・脅威ハンティングそれぞれでの活用法を整理します。
SOCにおけるCTIの活用フロー
SOCでの典型的なCTI活用フロー:
- 脅威フィードの受信 — ISAC・商用CTIベンダー・J-CSIPからIOCを受信
- SIEMへの取り込み — IOC(悪意あるIP・ドメイン・ハッシュ)をSTIX形式でSIEMに自動投入
- アラートの相関分析 — SIEMが既存ログとIOCを突き合わせ、ヒットしたアラートを生成
- コンテキストの付与 — ATT&CKマッピングで「どの戦術のどのテクニックか」を特定
- 優先度付け — 自社の業種・アセットへの関連度でアラートを優先順位付け
- エスカレーション — 高優先度のアラートをインシデント対応チームへ引き継ぎ
CIO時代、アラートそのものを無視するような状況はありませんでしたが、「どのアラートが出たらどう対応するか」というルール設計が非常に難しかった記憶があります。CTIと組み合わせることで「関連性の低いノイズ」を排除し、本当に対応すべきアラートに集中できる状態になります。
脅威ハンティング(Threat Hunting)とは
脅威ハンティングは「アラートを待つ受動的なSOCから、脅威を能動的に探しに行く手法」への転換です。
プロセス:
- 仮説の設定 — 「このAPTグループが自社環境にいたら、どのログに痕跡を残すか?」という仮説を立てる(ATT&CKのテクニックが起点)
- データ収集・分析 — 仮説に基づいてログを検索し、統計的異常を探す
- 検出・対応 — 仮説が正しければインシデント対応へ移行。外れても「クリーン確認」として記録する
- フィードバック — 発見されたTTPを新たな検出ルールとしてSIEMに追加する
脅威ハンティングが機能するには「仮説を立てるためのCTI(脅威アクターのTTP情報)」と「仮説を検証するためのログデータ」が両方揃っている必要があります。
CTIライフサイクル(インテリジェンスサイクル)
ISACや政府機関の教科書で使われるCTIライフサイクルは、一般的に以下6段階で表されます:
- 要件定義(Direction) — 何を知りたいか? PIR(Priority Intelligence Requirements:優先インテリジェンス要件)を設定する
- 収集(Collection) — OSSINTフィード・商用CTI・ダークウェブ監視でデータを集める
- 処理(Processing) — 生データのデノイズ・正規化・機械可読形式への変換
- 分析(Analysis) — パターン抽出・帰属(Attribution)・コンテキスト付与
- 配布(Dissemination) — 種類ごとに適切な受け手へ届ける(経営層→戦略的、SOC→技術的)
- フィードバック(Feedback) — 受け手からの評価を次サイクルの要件定義に反映する
SC試験では「PIR(Priority Intelligence Requirements:優先インテリジェンス要件)」という用語と「要件定義フェーズで設定される」という位置づけを押さえておくことが重要です。
SC試験での出題パターンと対策
CTIとMITRE ATT&CKは、試験では以下のパターンで出題されます。
午前Ⅱでの出題傾向
よく問われるキーワード:
- 「TTP(Tactics, Techniques, and Procedures)」の定義と、IOCとの違い
- 「IoC(Indicators of Compromise)」の具体例(マルウェアのハッシュ値・C2サーバーのIPアドレス)
- 「ISAC」の定義と目的(業種別の脅威情報共有の枠組み)
- 「脅威インテリジェンスの種類(戦略的・戦術的・技術的)」と各受け手の組み合わせ
定番の引っかけパターン:
- 「TTPは変化しやすく、IOCは変化しにくい」← 誤り。TTPは攻撃者の行動様式なので変わりにくく、IOCのIPやドメインは頻繁に変更される。逆の関係であることを押さえる
- 「CTIの技術的インテリジェンスは経営層の意思決定に最適」← 誤り。技術的インテリジェンスはSIEMエンジニア向けのIOCデータ。経営層向けは戦略的インテリジェンス
- 「ISACは政府機関が主導する強制的な情報共有制度」← 誤り。ISACは業種内の任意参加型の情報共有センター
午後問題での出題傾向
午後問題では、ログ分析・インシデント対応のシナリオの中でATT&CKの戦術が暗黙の参照軸として使われます。例えば:
- 「攻撃者が権限昇格後にMimikatzを実行した」→ ATT&CK「認証情報アクセス(Credential Access)」の知識があれば、次に「横展開(Lateral Movement)」が来ると予測できる
- 「C2通信の特徴として、DNSクエリが60秒ごとに規則的に発生する」→ ATT&CK「コマンド&コントロール(Command and Control)」戦術でのビーコン通信の知識が問われる
- 「能動的サイバー防御法に基づき、インシデントを届け出るべき組織はどれか」→ 基幹インフラ事業者(15業種)の知識が問われる
午後問題で実際の過去問の年度・問番号を特定できなかった項目については、一般化表現に留めます。ATT&CKの戦術名と攻撃フローの順序を覚えておくことで、午後問題の文脈把握が速くなります。
【演習】脅威インテリジェンス(CTI)とMITRE ATT&CK理解度チェック(全10問)
午前IIでは「CTIの種類と受け手の組み合わせ」「IOCとTTPの違い」「ISACの目的」が4択問題で繰り返し出題されます。午後問題では、ログ分析・インシデント対応シナリオの中でATT&CKの戦術を同定する形で問われることが多く、14戦術の順序と代表的なテクニックを押さえておくことが解答速度を上げる鍵です。また、「TTPは変化しやすい」という誤記述、「技術的CTIを経営層に提供した」のような受け手の取り違えは定番の引っかけです。以下の練習問題で本記事の理解度を確認してみましょう。
まとめ:「守りの地図」を持つことがセキュリティ設計の出発点
CTIとMITRE ATT&CKが示すのは「闇雲に守るのではなく、誰がどう攻めてくるかを先に把握したうえで優先順位をつけた防御設計」という考え方です。
CIO時代、私はセキュリティ投資の予算を経営陣に説明する際に「どの脅威に対してどこを守るか」を言語化できずに苦労しました。当時CTIの概念が浸透していれば、「業種別のAPT動向」を戦略的インテリジェンスとして経営層に提示し、より具体的な根拠でセキュリティ投資の議論ができたはずです。
インフラ講師時代、学び始めたばかりのエンジニアに最初に教えたのは「セキュリティは"出口"だけを守るのではなく、攻撃者が侵入してからとる行動の"流れ"を理解しないと対策に穴ができる」という考え方でした。ATT&CKの14戦術を攻撃フロー順に覚えておくと、「なぜ権限昇格の後にラテラルムーブメントが来るのか」という攻撃者の論理が見えてきます。
本記事のポイントをまとめます:
- CTIは4種類(戦略的・作戦的・戦術的・技術的)に分類され、受け手に応じた情報を提供する
- IOCは「既知の侵害の証拠(IP・ハッシュ等)」、IOAは「進行中の攻撃の兆候(行動パターン)」
- TTPは変化しにくく、IOCは変化しやすい — この非対称性が防御設計の基本
- ISAC・STIX/TAXIIが脅威情報の機械的な共有を支える標準基盤
- MITRE ATT&CKの14戦術は「攻撃者の目的(WHY)」、テクニックは「手段(HOW)」
- 能動的サイバー防御法(2025年5月成立)によりCTIの官民共有が法的インフラとして整備された
- 脅威ハンティングはATT&CKを起点に「仮説を設定→能動的にログを探索」するアプローチ
- PIR(Priority Intelligence Requirements)はCTIサイクルの最初の要件定義フェーズで設定する
本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。