NRIセキュア、「MITRE ATT&CK」を用いて企業等のセキュリティ対策状況を評価するサービスを開始

PR TIMES / 2021年11月10日 20時15分

～リスクベース・アプローチで「防御の穴」を塞ぐ～

NRIセキュアテクノロジーズ株式会社（以下「NRIセキュア」）は、米国の非営利組織が発行するナレッジベース「MITRE ATT&CK（マイターアタック）」[i]で定義されたサイバー攻撃の手法に対して、企業等の組織が防御可能な範囲を特定するとともに、セキュリティ対策の評価と問題解決策の提案を行う、「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス（以下「本サービス」）」の提供を、本日開始します。

■企業等が抱える情報セキュリティの課題
高度化・巧妙化するサイバー攻撃により、情報漏洩などのセキュリティ事故が多発しています。そのため、CIS ControlsやNIST Cybersecurity Framework、ISO27001/27002などの公的基準を参照して、「ベースライン・アプローチ」[ii]による自組織の情報セキュリティ対策状況を評価する企業や団体が増えています。

また、侵入テストを行うペネトレーションテスト[iii]やレッドチーム演習[iv]といった、「リスクベース・アプローチ」[v]を用いて、具体的なサイバー攻撃と照らし合わせて自組織のセキュリティレベルを評価したいというニーズも高まっており、以下のような要望や課題が多くみられます。

・ベースライン・アプローチでの評価は実施したが、特定の脅威・攻撃に対して、現状の対策で防御できるかどうか確かめたい。
・情報システムに対してリスクベース・アプローチでの評価を実施したいが、スキルや体制が十分でない。
・ペネトレーションテストのような特定の情報システム向けの評価だけでは、組織全体としてのサイバー攻撃への対策状況が把握しきれない。

■ 本サービスの概要と特長
本サービスでは、組織が現在講じている情報セキュリティ対策で、どういったサイバー攻撃を防御できるのかについて、「MITRE ATT&CK」を使用しながらNRIセキュアのコンサルタントが机上で評価を行い、防御が不十分な範囲を明確にした上で「防御の穴」を特定し、攻撃者が狙う可能性の高い攻撃手法を導き出します。加えて、それらの検知・防御を可能にする解決策を提案し、あらゆる攻撃から情報システムを守ります。（本サービスの提供フローについては、文末の「ご参考」を参照ください。）

本サービスの主な特長は、下記の通りです。

１．ハンズオフ（机上評価）かつリスクベース・アプローチによる評価を実施
本サービスでは、ハンズオフ（机上評価）かつリスクベース・アプローチでの評価を行います。ベースライン・アプローチでの評価と比べると、リスクベース・アプローチでは防御可能な範囲を可視化し、実際の攻撃に即して評価を行うため、即効性のある対策案を導き出すことができます。また、ハンズオン（実機評価）のように実際のシステムをテストする必要がなく、組織内の調整など準備にかかる負荷や期間を抑えることが可能です。

図：情報セキュリティ対策における評価・分析手法の分類と特徴
[画像1: https://prtimes.jp/i/52432/56/resize/d52432-56-260160faa1eb5f6360f0-0.jpg ]

２．MITRE ATT&CKの認定資格者による評価
MITRE ATT&CKには、実際に観測された攻撃者の戦術とテクニックが分類してまとめられており、14個の「Tactics（戦術・目的）」と、188個の「Techniques（攻撃手法）」および379個のサブテクニックが定義されています（「MITRE ATT&CK version 10.0」による分類）。世界中の企業・組織や政府、サイバーセキュリティのコミュニティなどで活用され、主要なセキュリティ対策製品の検知能力を測るための指標としても用いられています。

本サービスでは、「MITRE ATT&CK Defender認定資格」を保有するNRIセキュアのコンサルタントが、複雑なMITRE ATT&CKへの深い理解と専門的な知識・スキルを活かして、適切な評価を行います。

３．豊富な支援実績に基づいた知見を提供
サイバー攻撃への対策状況について、NRIセキュアの豊富な支援実績や他社事例も考慮の上、組織固有のシステム環境とセキュリティ事情を踏まえたセキュリティアセスメントや、実践的な改善方針案を提示します。情報セキュリティに関するあらゆる分野のプロフェッショナルが強力にバックアップし、各組織の課題に合わせて最も効果的な体制で支援します。

本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/mitre-attack

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。

-----------------------
[i] MITRE ATT&CK：
米国の連邦政府が資金を提供する非営利組織であるMITRE（マイター）社が開発した、「攻撃者の行動を戦術や戦法から分類したナレッジベース（ATT&CK：Adversarial Tactics, Techniques, and Common Knowledge）」のことです。
[ii] ベースライン・アプローチ：
公的機関から発行されたガイドラインなどの基準が定義する対策項目および対策レベルをベースに、組織の対策状況の評価を行う方式を指します。
[iii] ペネトレーションテスト：
特定の情報システムの脆弱性を対象として、侵入テストを行い実機評価することです。
[iv] レッドチーム演習：
情報システムの脆弱性だけではなく、人・物理のそれぞれの側面からセキュリティ耐性を評価することです。
[v] リスクベース・アプローチ：
組織固有のリスクやサイバー攻撃等の想定される脅威をベースに、リスクに特化した形で組織の検知・防御能力等の対策状況を評価する方式を指します。

■ ご参考
サービスの標準的な提供フロー
[画像2: https://prtimes.jp/i/52432/56/resize/d52432-56-a9920902383874126f85-1.jpg ]

企業プレスリリース詳細へ
 PR TIMESトップへ