NRIセキュア、「MITRE ATT&CK」を用いてセキュリティ対策状況を評価するサービス開始

　NRIセキュアテクノロジーズ株式会社（以下「NRIセキュア」）は、米国の非営利組織が発行するナレッジベース「MITRE ATT&CK（マイター アタック）」［i］で定義されたサイバー攻撃の手法に対して、企業等の組織が防御可能な範囲を特定するとともに、セキュリティ対策の評価と問題解決策の提案を行う、「MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス（以下「本サービス」）」の提供を、本日開始します。

■ 企業等が抱える情報セキュリティの課題

　高度化・巧妙化するサイバー攻撃により、情報漏洩などのセキュリティ事故が多発しています。そのため、CIS ControlsやNIST Cybersecurity Framework、ISO27001/27002などの公的基準を参照して、「ベースライン・アプローチ」［ii］による自組織の情報セキュリティ対策状況を評価する企業や団体が増えています。

　また、侵入テストを行うペネトレーションテスト［iii］やレッドチーム演習［iv］といった、「リスクベース・アプローチ」［v］を用いて、具体的なサイバー攻撃と照らし合わせて自組織のセキュリティレベルを評価したいというニーズも高まっており、以下のような要望や課題が多くみられます。

○ ベースライン・アプローチでの評価は実施したが、特定の脅威・攻撃に対して、現状の対策で防御できるかどうか確かめたい。

○ 情報システムに対してリスクベース・アプローチでの評価を実施したいが、スキルや体制が十分でない。

○ ペネトレーションテストのような特定の情報システム向けの評価だけでは、組織全体としてのサイバー攻撃への対策状況が把握しきれない。

■ 本サービスの概要と特長

　本サービスでは、組織が現在講じている情報セキュリティ対策で、どういったサイバー攻撃を防御できるのかについて、「MITRE ATT&CK」を使用しながらNRIセキュアのコンサルタントが机上で評価を行い、防御が不十分な範囲を明確にした上で「防御の穴」を特定し、攻撃者が狙う可能性の高い攻撃手法を導き出します。加えて、それらの検知・防御を可能にする解決策を提案し、あらゆる攻撃から情報システムを守ります。（本サービスの提供フローについては、文末の「ご参考」を参照ください。）

[i] MITRE ATT&CK：米国の連邦政府が資金を提供する非営利組織であるMITRE（マイター）社が開発した、「攻撃者の行動を戦術や戦法から分類したナレッジベース（ATT&CK：Adversarial Tactics, Techniques, and Common Knowledge）」のことです。

[ii] ベースライン・アプローチ：公的機関から発行されたガイドラインなどの基準が定義する対策項目および対策レベルをベースに、組織の対策状況の評価を行う方式を指します。

[iii] ペネトレーションテスト：特定の情報システムの脆弱性を対象として、侵入テストを行い実機評価することです。

[iv] レッドチーム演習：情報システムの脆弱性だけではなく、人・物理のそれぞれの側面からセキュリティ耐性を評価することです。

[v] リスクベース・アプローチ：組織固有のリスクやサイバー攻撃等の想定される脅威をベースに、リスクに特化した形で組織の検知・防御能力等の対策状況を評価する方式を指します。