ダイヤモンドモデル(侵入分析)
ダイヤモンドモデル(侵入分析) とは何ですか?
ダイヤモンドモデル(侵入分析)悪意ある各イベントを「敵対者・能力・インフラ・被害者」の 4 つの頂点で結びつける侵入分析フレームワーク。
ダイヤモンドモデル(Diamond Model of Intrusion Analysis)は、Caltagirone、Pendergast、Betz が 2013 年に発表した分析手法で、各悪意あるイベントを 4 つの中核要素——敵対者(Adversary)、能力(Capability:ツール・マルウェア・TTP)、インフラ(Infrastructure:IP・ドメイン・C2)、被害者(Victim)——を結ぶダイヤモンドとして表現します。タイムスタンプ、フェーズ、結果、方向、方法論、リソースなどのメタ特徴が各イベントを補強します。アナリストは頂点間を「ピボット」して関連活動を洗い出し、ある攻撃者が登録した別のドメイン、ある能力ハッシュが触れた他の被害者などを掘り下げます。本モデルは MITRE ATT&CK やサイバーキルチェーンを補完し、脅威インテリジェンスプラットフォーム・侵入分析レポート・構造化ピボットワークフローで広く使われています。
● 例
- 01
マルウェアサンプル(能力)から登録ドメイン(インフラ)へピボットし、より広いキャンペーンを可視化する。
- 02
共通する TTP と被害者像をもとに、複数のインシデントを同一の敵対者クラスタへ帰属させる。
● よくある質問
ダイヤモンドモデル(侵入分析) とは何ですか?
悪意ある各イベントを「敵対者・能力・インフラ・被害者」の 4 つの頂点で結びつける侵入分析フレームワーク。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ダイヤモンドモデル(侵入分析) とはどういう意味ですか?
悪意ある各イベントを「敵対者・能力・インフラ・被害者」の 4 つの頂点で結びつける侵入分析フレームワーク。
ダイヤモンドモデル(侵入分析) はどのように機能しますか?
ダイヤモンドモデル(Diamond Model of Intrusion Analysis)は、Caltagirone、Pendergast、Betz が 2013 年に発表した分析手法で、各悪意あるイベントを 4 つの中核要素——敵対者(Adversary)、能力(Capability:ツール・マルウェア・TTP)、インフラ(Infrastructure:IP・ドメイン・C2)、被害者(Victim)——を結ぶダイヤモンドとして表現します。タイムスタンプ、フェーズ、結果、方向、方法論、リソースなどのメタ特徴が各イベントを補強します。アナリストは頂点間を「ピボット」して関連活動を洗い出し、ある攻撃者が登録した別のドメイン、ある能力ハッシュが触れた他の被害者などを掘り下げます。本モデルは MITRE ATT&CK やサイバーキルチェーンを補完し、脅威インテリジェンスプラットフォーム・侵入分析レポート・構造化ピボットワークフローで広く使われています。
ダイヤモンドモデル(侵入分析) からどのように防御しますか?
ダイヤモンドモデル(侵入分析) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 266
サイバー脅威インテリジェンス(CTI)
攻撃者・その動機・手口に関する証拠に基づく知見を体系化し、防御判断や統制の優先順位付けに活用する取り組み。
- defense-ops№ 1131
戦術・技術・手順(TTPs)
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
- defense-ops№ 527
侵害指標(IoC)
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
- defense-ops№ 057
APT グループ
ベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。
● 関連項目
- № 1201VERIS フレームワーク