CAPEC
CAPEC とは何ですか?
CAPECMITRE が運営する公開攻撃パターンカタログ Common Attack Pattern Enumeration and Classification。既知の弱点を突くために攻撃者が用いるパターンを体系化している。
CAPEC(Common Attack Pattern Enumeration and Classification)は、ソフトウェア・ハードウェア・運用の弱点を突くために攻撃者が用いる代表的なパターンを記載した、MITRE 主導のコミュニティリソースです。各エントリには一意の CAPEC-ID、概要、前提条件、攻撃手順、関連する弱点(CWE)、緩和策が含まれ、Mechanisms of Attack や Domains of Attack(ソフトウェア・ハードウェア・サプライチェーン・通信・ソーシャルエンジニアリング・物理)などの階層で整理されています。CWE(弱点)、CVE(脆弱性)、ATT&CK(現実の攻撃技術)を補完し、脅威モデリング、セキュアデザインレビュー、レッドチーム、ペンテスト範囲の検討に広く利用されています。
● 例
- 01
PASTA 脅威モデリングワークショップで CAPEC-66(SQL インジェクション)をアプリの具体的エントリポイントに対応付ける。
- 02
セキュアデザインチェックリストが、認証フローに関連する各 CAPEC パターンに対する対策を要求する。
● よくある質問
CAPEC とは何ですか?
MITRE が運営する公開攻撃パターンカタログ Common Attack Pattern Enumeration and Classification。既知の弱点を突くために攻撃者が用いるパターンを体系化している。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
CAPEC とはどういう意味ですか?
MITRE が運営する公開攻撃パターンカタログ Common Attack Pattern Enumeration and Classification。既知の弱点を突くために攻撃者が用いるパターンを体系化している。
CAPEC はどのように機能しますか?
CAPEC(Common Attack Pattern Enumeration and Classification)は、ソフトウェア・ハードウェア・運用の弱点を突くために攻撃者が用いる代表的なパターンを記載した、MITRE 主導のコミュニティリソースです。各エントリには一意の CAPEC-ID、概要、前提条件、攻撃手順、関連する弱点(CWE)、緩和策が含まれ、Mechanisms of Attack や Domains of Attack(ソフトウェア・ハードウェア・サプライチェーン・通信・ソーシャルエンジニアリング・物理)などの階層で整理されています。CWE(弱点)、CVE(脆弱性)、ATT&CK(現実の攻撃技術)を補完し、脅威モデリング、セキュアデザインレビュー、レッドチーム、ペンテスト範囲の検討に広く利用されています。
CAPEC からどのように防御しますか?
CAPEC に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CAPEC の別名は何ですか?
一般的な別名: 共通攻撃パターン列挙と分類, CAPEC。
● 関連用語
- appsec№ 1150
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
- compliance№ 801
PASTA 脅威モデル
Process for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- vulnerabilities№ 262
CWE(共通脆弱性タイプ一覧)
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
- compliance№ 775
OWASP ASVS
OWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。