サイバーキルチェーン
サイバーキルチェーン とは何ですか?
サイバーキルチェーン標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
サイバーキルチェーン(Cyber Kill Chain)は、2011 年にロッキード・マーティン社が公開したモデルで、侵入を「偵察」「武器化」「配送」「エクスプロイト」「インストール」「コマンド&コントロール」「目的の実行」の 7 段階に分解します。防御側はそれぞれの段階で攻撃活動を「検知・拒否・妨害・劣化・欺瞞・破壊」することが推奨され、いずれか 1 つの段階を断ち切れば攻撃キャンペーン全体を失敗させられるという考え方が中心です。攻撃者中心のフレームワークとして広く普及した先駆けで、防御策のマッピング、テレメトリ優先度の整理、インシデントタイムラインの共有に今も活用されています。一方で、内部不正・クラウドネイティブ攻撃・隠密的なスパイ活動には適合しにくいとの指摘もあり、近年では MITRE ATT&CK と組み合わせて使う組織が増えています。
● 例
- 01
フィッシングからランサムウェアに至るインシデントを 7 段階に当てはめ、どの統制が機能しなかったかを特定する。
- 02
EDR、メールセキュリティ、ネットワーク防御を特定のキルチェーンの段階に対応付ける。
● よくある質問
サイバーキルチェーン とは何ですか?
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。 サイバーセキュリティの 防御と運用 カテゴリに属します。
サイバーキルチェーン とはどういう意味ですか?
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
サイバーキルチェーン はどのように機能しますか?
サイバーキルチェーン(Cyber Kill Chain)は、2011 年にロッキード・マーティン社が公開したモデルで、侵入を「偵察」「武器化」「配送」「エクスプロイト」「インストール」「コマンド&コントロール」「目的の実行」の 7 段階に分解します。防御側はそれぞれの段階で攻撃活動を「検知・拒否・妨害・劣化・欺瞞・破壊」することが推奨され、いずれか 1 つの段階を断ち切れば攻撃キャンペーン全体を失敗させられるという考え方が中心です。攻撃者中心のフレームワークとして広く普及した先駆けで、防御策のマッピング、テレメトリ優先度の整理、インシデントタイムラインの共有に今も活用されています。一方で、内部不正・クラウドネイティブ攻撃・隠密的なスパイ活動には適合しにくいとの指摘もあり、近年では MITRE ATT&CK と組み合わせて使う組織が増えています。
サイバーキルチェーン からどのように防御しますか?
サイバーキルチェーン に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サイバーキルチェーン の別名は何ですか?
一般的な別名: ロッキード・マーティン キルチェーン, 侵入キルチェーン。
● 関連用語
- defense-ops№ 905
偵察(リコネサンス)
攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。
- defense-ops№ 535
初期アクセス
標的環境への最初の足場を確立するために攻撃者が用いる手法をまとめた MITRE ATT&CK の戦術(TA0001)。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- malware№ 201
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
- defense-ops№ 315
ダイヤモンドモデル(侵入分析)
悪意ある各イベントを「敵対者・能力・インフラ・被害者」の 4 つの頂点で結びつける侵入分析フレームワーク。
- defense-ops№ 527
侵害指標(IoC)
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
● 関連項目
- № 397実行(MITRE 戦術)
- № 817永続化(Persistence)
- № 298防御回避(Defense Evasion)
- № 325探索(MITRE 戦術)
- № 199収集(Collection・MITRE 戦術)
- № 398エクスフィルトレーション(情報持ち出し)
- № 518インパクト(MITRE 戦術)