コンテンツへスキップ

Exabeam「ビヘイビア・インテリジェンス」を拡大し、主体性ある企業のセキュリティを確保 —ニュースを読む

Cyber Kill Chain vs. Mitre ATT&CK®: 5 Key Differences and Synergies

  • 8 minutes to read

目次

    サイバーキルチェーンフレームワークとは?

    サイバーキルチェーンフレームワークは、サイバー敵がどのように行動するかを理解し、説明するためのモデルである。ロッキード・マーティン社によって開発されたこのフレームワークは、「キル・チェーン」として知られる軍事的概念に基づいており、最初の偵察から最終的な目標(その目標が流出であれ、可用性の否定であれ、純粋な破壊であれ、あるいはその組み合わせであれ)に至るまでの攻撃の構造を記述しています。

    サイバーキルチェーンフレームワークは、サイバー攻撃を7つの段階に分類している:

    1. 偵察
    2. 兵器化
    3. 配送
    4. 搾取
    5. インストール
    6. コマンド&コントロール(C2)
    7. 目標に対する行動

    このフレームワークは、サイバー攻撃のライフサイクルを理解するための体系的なアプローチを提供する。段階をマッピングすることで、各段階における脅威の特定と緩和が容易になる。各段階は、防御側にとって攻撃を検知、防止、妨害する好機となる。

    サイバーキルチェーンフレームワークは強力なツールではあるが、限界がないわけではない。その直線的で逐次的なモデルは、サイバー攻撃の複雑で反復的、そしてしばしば並列的な性質を正確に反映していない可能性がある。さらに、外部からの脅威に焦点を当てる傾向があり、極めて重要な脅威タイプである内部脅威や侵害後の活動を見落とすことが多い。

    この用語解説について:

    このコンテンツはMITRE ATT&CK.

    推薦図書:UEBA(ユーザーとエンティティの行動分析):完全ガイド.


    MITRE ATT&CKフレームワークとは?

    フレームワークMITRE ATT&CKフレームワークは、敵の行動を理解するための知識ベースであり、モデルである。非営利団体MITRE Corporationによって開発され、元々は米軍を支援するために設計されたもので、偵察や最初のアクセスから影響に至るまで、攻撃者が使用する戦術、技術、手順の全領域をカバーしている。

    ATT&CKフレームワークは、単に攻撃のステージをマッピングするだけではありません。ATT&CKフレームワークは、攻撃者が各ステージで使用するテクニックを、緩和策や検知方法とともに詳細に説明しています。ATT&CKフレームワークは、最新の脅威インテリジェンスと研究を考慮し、定期的に更新・拡張されています。

    ATT&CKフレームワークは、非常にきめ細かく包括的であり、サイバー脅威を理解する上で深さと広さを提供します。ATT&CKフレームワークは、グローバルなセキュリティチームによって広く使用されており、防御力の向上、脅威の発見能力の開発、インシデントレスポンスの強化に役立てられています。

    詳細はこちら:

    についての説明をお読みください。MITRE ATT&CK フレームワーク.


    サイバーキルチェーン対 ATT&CK:主な違い

    どちらのフレームワークも、サイバー脅威と攻撃に関する貴重な洞察を提供してくれるが、いくつかの重要な部分で異なっている。

    1. Level of Abstraction

    The Cyber Kill Chain operates at a high level and is intentionally simplified. Each stage represents a broad category of attacker activity, such as “Delivery” or “Exploitation,” without specifying how those actions are carried out. This abstraction makes it useful for communicating attack concepts across teams, including non-technical stakeholders. However, it lacks the detail needed to directly map logs, alerts, or telemetry to specific attacker behaviors.

    ATT&CK is intended for low-level, operational use. Each tactic (the “why”) is broken down into techniques and often sub-techniques (the “how”). For example, instead of a general “Exploitation” stage, ATT&CK defines dozens of ways exploitation can occur, each tied to observable system activity. This level of detail allows security teams to map real incidents to known behaviors, validate detections, and prioritize defenses based on actual techniques used in the wild.

    2. Structure and Flow

    The Cyber Kill Chain uses a strict linear model. It assumes attackers move step-by-step from reconnaissance to final impact, with each stage depending on the previous one. This structure is easy to follow and works well for explaining traditional intrusion scenarios. However, it does not account for attackers skipping steps, repeating stages, or operating in parallel across multiple systems.

    ATT&CK uses a matrix structure organized by tactics such as initial access, execution, persistence, and lateral movement. There is no fixed path through the matrix. Attackers can enter at different points, reuse techniques, or pivot between tactics as needed. This flexible model reflects real-world operations, where attackers adapt based on defenses, available access, and changing objectives. It also supports iterative analysis, where defenders continuously map activity rather than forcing it into a predefined sequence.

    3. Coverage and Realism

    The Cyber Kill Chain emphasizes perimeter-focused attacks and early-stage intrusion activity. It is strongest when describing how an attacker gains access and establishes a foothold. However, it provides limited visibility into what happens after compromise, such as credential abuse, internal reconnaissance, or long-term persistence. It also does not explicitly model insider threats or supply chain scenarios.

    ATT&CK provides much broader coverage across the entire attack lifecycle. It includes detailed tactics for post-compromise behavior, such as privilege escalation, defense evasion, credential access, discovery, and lateral movement. It also accounts for different environments, including enterprise, cloud, mobile, and industrial control systems. This breadth makes it more realistic for modern environments, where attacks often involve multiple stages, tools, and access methods over extended periods.

    4. Purpose in Security Programs

    The Cyber Kill Chain is commonly used for strategic planning and high-level defense design. Security teams use it to identify where controls should exist, such as blocking delivery mechanisms or detecting command and control traffic. It is also useful in training and awareness, helping teams understand the general flow of attacks and where intervention is possible.

    ATT&CK is used for hands-on security operations. Detection engineers map rules and alerts to ATT&CK techniques to ensure coverage. Threat hunters use it to guide investigations and look for particular behaviors across systems. Red teams use it to simulate realistic attacker activity, while blue teams use it to measure detection gaps and improve response. Because it is continuously updated with real-world intelligence, ATT&CK also serves as a common language across tools, teams, and organizations for describing and comparing threats.

    5. Adoption and Industry Popularity

    The Cyber Kill Chain remains a well-known and widely taught model, especially for explaining attack stages and building foundational security strategies. However, its adoption is less dominant in modern operational security, partly due to its limitations in handling complex, non-linear attacks.

    ATT&CK has become the de facto industry standard for modeling adversary behavior. It is widely used across threat intelligence, detection engineering, and incident response programs.

    Recent research highlights its strong adoption:

    • A review of 417 academic and industry studies found ATT&CK broadly integrated across cybersecurity domains and methodologies.
    • It is considered the most popular framework among practitioners, even as other models remain common in academia.
    • The framework is supported by a global community, with contributors and users from over 200 countries, reinforcing its role as a shared standard.

    In practice, many organizations now use both frameworks together: the Cyber Kill Chain for high-level storytelling and ATT&CK for detailed, operational analysis.

    エキスパートからのアドバイス

    スティーブ・ムーア

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、CyberキルチェーンとMITRE ATT&CKのフレームワークをより良く活用するためのヒントを紹介する:

    レッドチームとブルーチームの演習を強化する
    サイバーキルチェーンを使用してレッドチームのシナリオを構成し、ブルーチームが ATT&CK に記載されているテクニックを検出し、対応できるように導きます。この二重フレームワークのアプローチは、現実的な攻撃をシミュレートし、検知能力を向上させる。

    キルチェーンと ATT&CK を組み合わせて攻撃を完全に可視化
    Cyberキルチェーンを使用して攻撃のハイレベルなステージを理解し、ATT&CK フレームワークを適用して各ステージで使用される具体的なテクニックや戦術に踏み込みます。この組み合わせにより、敵がどのように行動するかを詳細に把握することができます。

    侵害後の分析にATT&CKを使用する
    キルチェーンは、攻撃前と初期侵入の段階に重点を置いていますが、ATT&CK を使用して、横方向への移動、持続性、データ流出など、初期アクセス後の敵の行動を追跡します。

    両方のフレームワークで検知を自動化
    SIEM や XDR システムをキルチェーンと ATT&CK の両方に対応させることで、脅威の検知を自動化できます。例えば、偵察のような初期段階の脅威はキルチェーンで検知し、コマンド&コントロールのような深い段階は ATT&CK テクニックにマッピングすることができます。

    ATT&CK技術に基づく防御投資の優先順位付け
    どのATT&CKテクニックがあなたの組織のセクターに対して一般的に使用されているかを分析し、それらのテクニックを中心とした防御対策に優先順位を付けます。これにより、現実の脅威に対する集中的かつ効果的な防御戦略を確保することができます。


    Cyberキルチェーンと ATT&CK フレームワークの相乗効果

    Cyberキルチェーン」と「MITRE ATT&CK Framework」は、どちらもサイバー脅威を理解し対処する上で役立つものであるが、それぞれ独自の視点を提供している。これら2つのフレームワークを組み合わせることで、脅威の状況を包括的に把握することができる。Cyberキルチェーンは、脅威が攻撃プロセスのどこで特定されたかを特定することができ、ATT&CK は、各段階で使用される具体的な戦術やテクニックに光を当てることができる。

    CyberキルチェーンとATT&CKの相乗効果によって、組織が利益を得る方法をいくつか紹介しよう。

    主要なユースケースを決定する

    この2つのフレームワークを効果的に組み合わせるには、貴社独自のビジネス・コンテクストにおける使い方を理解する必要がある。技術インフラ、データ資産、重要なビジネスプロセス、潜在的な脆弱性など、自社のビジネスオペレーションをしっかりと把握する必要がある。この理解に基づいて、これらのフレームワークが価値を提供できる主要分野を特定することができる。

    例えば、クラウドベースのデータストレージに大きく依存しているビジネスでは、これらのフレームワークを採用するユースケースとして、潜在的なクラウドベースの攻撃ベクトルを特定し、適切な防御策を開発することが考えられる。同様に、あなたのビジネスが機密性の高い顧客データを扱っている場合、潜在的なデータ漏洩シナリオを理解し、緩和することがユースケースになるかもしれない。

    それぞれのユースケースに対して、Cyberキルチェーンは「典型的な」攻撃パターンのモデル化を支援し、ATT&CK は特定の関連する脅威ベクトルに対する準備を支援する。

    ビジネスリスクに対するログソースのマッピング

    主要なユースケースを特定したら、次のステップは、ビジネスリスクに対してログソースをマッピングすることである。これには、潜在的な脅威に関する洞察を提供できるデータ・ソースを特定し、それらをビジネス・リスクが最も高い領域と整合させることが含まれる。

    ログソースには、ネットワークログ、システムログ、アプリケーションログ、セキュリティログなどがある。これらのログは、疑わしい活動、潜在的な脆弱性、進行中の攻撃に関する貴重な洞察を提供することができる。

    主要分野のカバレッジを見直す

    ビジネスリスクに対してログソースをマッピングした後は、最優先のビジネスリスクに対して、Cyberキルチェーンおよび ATT&CK フレームワークが提供するカバレッジを確認します。これは、これらのフレームワークが、特定された潜在的な脅威の特定、予防、および緩和にどの程度役立つかを評価することを含む。

    レビュープロセスでは、対象範囲の包括性、提供される洞察の深さ、各フレームワークの特定のビジネスコンテキストへの適用可能性を考慮する必要がある。また、導入のしやすさや事業運営への潜在的な影響を考慮することも重要である。この分析に基づいて、どのビジネスリスクにどのフレームワークを使用するかを決定し、また、どちらのフレームワークも適切な脅威モデルを提供していないギャップを特定することができる。

    結果を上向きに報告する

    最後に、Cyberキルチェーン、ATT&CKフレームワークを導入し、その適用範囲を評価したら、その結果を上向きに報告することが重要である。これには、努力の成果を上層部や利害関係者に伝えることが含まれる。

    報告書は、主要な発見事項、実施した措置、およびビジネスリスクへの影響を強調するものでなければならない。また、得られた知見に基づき、今後の対応についての提言も行うべきである。

    この報告書の目的は、サイバー防衛の状況を経営陣に伝えるだけでなく、今後の取り組みに対する経営陣の賛同を得ることである。これにより、脅威フレームワークの導入と適切な活用のために十分なリソースが割り当てられるようになる。

    詳細はこちら:

    MITRE ATT&CKミティゲーションについての説明をお読みください。


    エクサビーム、ATT&CKフレームワークを採用

    Exabeam Fusion Enterprise Edition Incident Responder-Exabeam Fusion, Exabeam Security Investigation, Exabeam Security Analytics, Exabeam Fusion SIEM, Exabeam Security Log Management- は、ATT&CKフレームワークに対して、攻撃、アラート、コアユースケースをマッピングします。

    Threat Intelligence Service (脅威インテリジェンスサービス)組織は、カスタム相関ルールを作成、テスト、公開、監視することで、最も重要なビジネス・エンティティやアセットに焦点を当てることができる。

    すべての製品に付属するExabeam Fusion Enterprise Edition Incident Responderは、ATT&CK フレームワークを重要なレンズとして使用し、セキュリティ態勢の可視化を支援します。

    詳細はこちら:

    の使い方をお読みください。ATT&CK知識ベース脅威調査とインシデント対応を改善する

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • ブログ

      New-Scale 2026年7月の新着情報:AIエージェントには「ガードレール」以上のものが必要

    • データシート

      ログリズム・インテリジェンス

    • ブログ

      LogRhythm SIEM 2026年7月リリース:調査の迅速化と可視性の拡大

    • データシート

      New-Scale SIEM

    • もっと見る