IT人材のためのキャリアライフスタイルマガジン

サイバーキルチェーンとは？7段階の攻撃モデルとフェーズ別対策を徹底解説

更新日：2026年02月18日

1分でわかるこの記事の要約サイバーキルチェーンは、サイバー攻撃のプロセスを7段階に体系化したフレームワークです。各攻撃段階で監視すべきログと具体的なアクションを理解することで、インシデント対応の質が向上します。偵察 […]

1分でわかるこの記事の要約

サイバーキルチェーンは、サイバー攻撃のプロセスを7段階に体系化したフレームワークです。
各攻撃段階で監視すべきログと具体的なアクションを理解することで、インシデント対応の質が向上します。
偵察から目的達成までの各フェーズで適切な検知と遮断を行うことが、被害を最小限に抑える鍵となります。
SIEM、EDR、SOARなどのセキュリティツールを活用し、プロアクティブな防御体制を構築することが重要です。
本記事を参考に、自社のインシデントレスポンス計画を見直し、弱点を改善しましょう。

サイバー攻撃は日々高度化・巧妙化しており、企業にとってセキュリティ対策は最重要課題です。インシデントが発生した際、「どこから手をつければ良いかわからない」と混乱した経験はないでしょうか。攻撃の全体像を理解し、体系的なインシデントレスポンス手順を確立することが不可欠です。

本記事では、攻撃者の行動をモデル化した「サイバーキルチェーン」に基づき、各攻撃段階で監視すべきログと取るべき具体的なアクションを網羅的に解説します。この対応手順を理解し、インシデントレスポンスの質を飛躍的に向上させましょう。

サイバーキルチェーンの基本：攻撃7段階の概要と重要性

サイバーキルチェーン（Cyber Kill Chain）とは、米国のロッキード・マーティン社が提唱した、サイバー攻撃のプロセスを7つの段階にモデル化したフレームワークです。攻撃者が目的を達成するまでの一連の流れを可視化することで、防御側はどの段階で攻撃を検知・阻止すべきかを戦略的に検討できます。

インシデントレスポンスにおいて、このキルチェーンの概念は極めて重要です。なぜなら、攻撃の一連の鎖（チェーン）のどこか一箇所でも断ち切れば、最終的な被害を防ぎ、最小限に抑えることが可能になるからです。

キルチェーンの7つの段階

偵察 (Reconnaissance)：攻撃者がターゲットの情報を収集する。
武器化 (Weaponization)：マルウェアなど攻撃用のツールを作成する。
配送 (Delivery)：作成した武器をターゲットに送り込む。
攻撃 (Exploitation)：脆弱性を利用してコードを実行させる。
インストール (Installation)：マルウェアなどをシステムに常駐（永続化）させる。
C2通信 (Command & Control)：遠隔操作のための通信を確立する。
目的の実行 (Actions on Objectives)：情報の窃取やシステムの破壊など最終目的を遂行する。

このモデルを理解することで、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）は、検知したアラートが攻撃のどの段階にあるかを即座に判断し、適切な対応を迅速に実行できます。

また、最近ではMITRE ATT&CK®フレームワークも広く利用されています。キルチェーンが攻撃の「流れ（フェーズ）」を示すのに対し、MITRE ATT&CKは各フェーズで攻撃者が使う具体的な「戦術・技術（TTPs）」を詳細に分類します。この二つを組み合わせることで、より精度の高い脅威検出と防御策の立案が可能になります。

キルチェーン対策の全体像：ログ監視からインシデントレスポンスの流れ

キルチェーンに基づいた効果的なインシデントレスポンスを実現するには、攻撃の各段階で発生する事象を正確に捉える必要があります。その鍵となるのが、多様なソースから収集される「テレメトリ」データ、すなわちログの監視と分析です。ネットワーク機器、サーバー、エンドポイントなど、組織内のあらゆるIT資産から生成されるログを一元管理・相関分析することで、単一のログでは見逃す攻撃の兆候を早期発見できます。

インシデントレスポンスのライフサイクルは、NISTのモデルによれば「準備」「検知・分析」「封じ込め・根絶・復旧」「事後対応」で構成されます。キルチェーンの考え方は、特に「検知・分析」から「封じ込め・根絶・復旧」のフェーズで強力な指針となります。

検知・分析：SIEM（Security Information and Event Management）などを活用し、収集したテレメトリをリアルタイムで監視します。キルチェーンの各段階に対応する不審なイベントを検出し、攻撃がどの段階まで進行しているかを特定します。
封じ込め・根絶・復旧：分析結果に基づき、被害拡大を防ぐ「封じ込め」措置（例：端末のネットワーク隔離）を迅速に実行します。その後、攻撃の根本原因を取り除く「根絶」を行い、システムを正常な状態に戻す「復旧」作業を進めます。

この一連の流れを、キルチェーンの段階に応じて体系的に実行することが、迅速かつ的確なサイバーセキュリティ対応の要です。

【7段階別】サイバーキルチェーンの対策：監視ログとアクションプラン

ここからは、サイバーキルチェーンの7段階それぞれで、具体的に「何を監視し（ログ）」「何をすべきか（アクション）」を詳細に解説します。自社のインシデントレスポンス計画を見直す際のチェックリストとしてご活用ください。

段階1「偵察（Reconnaissance）」の対策

攻撃者がターゲット組織のネットワーク構成や公開サーバー、従業員情報などを外部から調査する段階です。ポートスキャンや脆弱性スキャンが典型的手法であり、早期発見が非常に効果的です。

監視すべきログ

ファイアウォール/IDS/IPSログ：特定のIPからの大量のポートスキャン、不審な国からのアクセス試行、偵察ツールのシグネチャに一致する通信。
Webサーバーアクセスログ：存在しないページへの大量リクエスト、SQLインジェクション等を狙ったリクエストパターン。
DNSクエリログ：自社ドメイン情報に対する異常な量のクエリ（ゾーン転送の試みなど）。

検知後のアクション

IPアドレスのブロック：偵察元のIPアドレスを特定し、ファイアウォールでブロックする。
脅威インテリジェンスとの照合：特定IPが既知の攻撃者に関連していないか確認する。
脆弱性管理の再点検：スキャン対象のサーバーやアプリの脆弱性を再点検し、パッチを適用する。不要なポートは閉鎖する。

段階2「武器化（Weaponization）」の対策

攻撃者が偵察情報を基に、マルウェアやスピアフィッシングメールのペイロードを作成する準備段階です。防御側から直接観測は困難ですが、想定した対策が可能です。

監視すべきログ

この段階を直接監視するログはありません。脅威インテリジェンスの活用が重要です。

検知後のアクション

脅威インテリジェンスの活用：最新のマルウェア動向や脆弱性、攻撃キャンペーン情報を収集・分析する。
防御ツールの定義ファイル更新：アンチウイルスやIDS/IPSのシグネチャを常に最新に保つ。
従業員へのセキュリティ教育：最新のフィッシング手口を周知し、注意喚起を行う。

段階3「配送（Delivery）」の対策

作成された「武器」をターゲットに送り込む段階です。フィッシングメールが最も一般的ですが、Webサイト経由（水飲み場攻撃）など経路は多様化しており、入口対策が重要です。

監視すべきログ

メールゲートウェイ/サーバーログ：不審な送信元ドメイン、実行形式の添付ファイル、悪性URLを含むメール。
プロキシ/DNSクエリログ：従業員から既知の悪性サイトへのアクセス。
エンドポイントログ（EDR）：メールクライアントから不審なプロセス（PowerShell等）が起動されていないか監視する。

検知後のアクション

通信のブロック：悪意のあるドメインやIPへの通信をファイアウォールでブロックする。
不審メールの隔離・削除：類似のフィッシングメールを調査し、サーバーから削除する。
ユーザーへの注意喚起：具体的な手口を全社的に共有し、注意を促す。

段階4「攻撃（Exploitation）」の対策

配送された武器が実行され、ソフトウェアやOSの脆弱性を悪用してコードを実行させる段階です。Officeマクロの有効化や、ブラウザの脆弱性を突く攻撃がこれにあたります。

監視すべきログ

エンドポイントセキュリティログ (EDR/EPP)：脆弱性悪用のアラート、メモリ上での不審なコード実行、アプリケーションからの異常な子プロセスの生成。
IDS/IPSログ：ネットワーク上での既知の脆弱性を狙う通信パターン。
OSイベントログ：アプリケーションのクラッシュログ、特権昇格の試み。

検知後のアクション

封じ込め（Containment）の開始：最も重要なアクション。攻撃された可能性のある端末を直ちにネットワークから隔離する。
脆弱性へのパッチ適用：悪用された脆弱性を特定し、速やかにパッチを適用する。
プロセスの強制終了：端末上で実行中の不審なプロセスを強制終了させる。

段階5「インストール（Installation）」の対策

攻撃者がシステムへのアクセスを維持するため、マルウェアやバックドアを常駐させる（永続化する）段階です。これにより、システム再起動後もアクセスが可能になります。

監視すべきログ

エンドポイントログ (EDR/OSイベントログ)：レジストリの自動実行キーへの書き込み、スタートアップへのファイル作成、タスクスケジューラへの悪性タスク登録など。
ファイルシステム監視ログ：システムディレクトリ（C:\Windows\System32など）への不審なファイルの作成・変更。

検知後のアクション

永続化メカニズムの除去：EDR等で永続化の手法を特定し、慎重に除去する。
フォレンジック調査：隔離した端末のディスクやメモリイメージを取得し、マルウェアの全容を解明する。
IOCの収集と展開：マルウェアのハッシュ値などの侵害指標（IOC）を収集し、他の端末に同様の痕跡がないか調査する。

段階6「C2通信（Command & Control）」の対策

インストールされたマルウェアが、外部の攻撃者の指令サーバー（C2サーバー）と通信を確立する段階です。この通信を検知・遮断することは、被害を最終段階で食い止める重要な機会です。

監視すべきログ

ファイアウォール/プロキシログ：未知のIP/ドメインへの定期的・周期的な通信（ビーコン通信）、異常なポートを使った通信。
DNSクエリログ：DGA（ドメイン生成アルゴリズム）によると疑われるランダムなドメインへのクエリ。
NetFlow/パケットデータ：通信のペイロードサイズや頻度など、トラフィックの振る舞い分析。

検知後のアクション

C2サーバーとの通信遮断：ファイアウォールやDNSサーバーで、特定したC2サーバーへの通信を即座にブロックする。
感染端末の特定と隔離：C2通信の発信元端末を特定し、ネットワークから隔離する。
脅威インテリジェンスの活用：C2サーバー情報から、攻撃者グループや攻撃目的を調査する。

段階7「目的の実行（Actions on Objectives）」の対策

攻撃者が当初の目的を達成しようとする最終段階です。機密情報の窃取（データ漏洩）、ランサムウェアによる暗号化、他のシステムへの侵入拡大（横展開）など目的は多岐にわたります。

監視すべきログ

Active Directory/認証ログ：管理者権限アカウントでの不審なログイン、特権昇格の試み、PsExecなど正規ツールの悪用。
ファイルサーバー/DBアクセスログ：機密サーバーへの異常なアクセス、大量のファイルダウンロードやコピー、圧縮操作。
DLP（Data Loss Prevention）ログ：機密データが外部に送信されようとする動きの検知。

検知後のアクション

侵害アカウントの無効化：攻撃者に奪われた可能性のあるアカウントを直ちに無効化、またはパスワードを強制リセットする。
復旧計画の実行：信頼できるバックアップから被害システムやデータを復旧させる。ランサムウェアの場合、身代金は支払わないのが原則。
影響範囲の確定と報告：被害の全容を調査・特定し、法規制等に基づき関係各所へ報告する。

キルチェーン対策を強化するセキュリティ運用とツール

キルチェーンの各段階に対応するには、適切なツールの導入とSOCの運用体制が不可欠です。

SIEM (Security Information and Event Management) SOCの中心として各種ログを集約し、キルチェーンの段階をまたぐ相関分析ルールを実装します。例えば「段階3：配送で不審メールを開封」と「段階4：攻撃でEDRが異常を検知」を組み合わせ、高優先度のアラートを自動発報させます。
EDR (Endpoint Detection and Response) 「攻撃」「インストール」「C2通信」といったエンドポイント内部の活動を可視化する上で中心的な役割を担います。プロセスの親子関係やネットワーク接続などの詳細なテレメトリは、インシデント調査で極めて価値の高い情報源となります。
SOAR (Security Orchestration, Automation and Response) インシデントレスポンスのアクションを自動化・効率化します。C2通信検知時に、SOARが自動でファイアウォールに遮断ルールを追加し、EDRに端末隔離を指示する、といった対応の迅速化と人的ミス削減が期待できます。

これらのツールと運用プロセスを脅威インテリジェンスと連携させることで、サイバー攻撃への防御・検出・対応能力を継続的に強化できます。

まとめ：キルチェーンを理解し、プロアクティブなセキュリティ対策を

本記事では、サイバーキルチェーンの7つの段階に沿って、監視すべきログと具体的な対応手順を解説しました。キルチェーンは、日々のセキュリティ運用やインシデントレスポンスを体系化し、実践的なアクションに落とし込むための強力なフレームワークです。

重要なのは、攻撃の連鎖をできるだけ早い段階で断ち切ることです。そのためには、多様なテレメトリを収集・分析し、攻撃の兆候を早期に検出する仕組みが欠かせません。そして、脅威を検出した際には、本記事で示したアクションを迅速かつ的確に実行する手順をあらかじめ定めておくことが重要です。

まずはこの記事を参考に、自社のインシデントレスポンス計画やログ管理体制を見直し、どこに弱点があるかを把握することから始めてみてください。サイバー攻撃に対し、受け身ではなく、攻撃者の行動を予測したプロアクティブなセキュリティ対策を構築していきましょう。

よくある質問（FAQ）

Q1: キルチェーンとMITRE ATT&CKの違いは何ですか？

A1: サイバーキルチェーンは、攻撃全体の「時系列のフェーズ（流れ）」を大局的に捉えるモデルです。一方、MITRE ATT&CKは、各フェーズで攻撃者が使う具体的な「戦術や技術（TTPs）」を網羅したナレッジベースです。キルチェーンで「攻撃がどの段階か」を把握し、ATT&CKで「具体的に何をされたか」を分析するなど、両者は相互に補完し合う関係にあります。

Q2: すべてのログを収集する必要はありますか？優先順位は？

A2: 理想は多くのログを収集することですが、コストや管理の観点から優先順位付けが重要です。優先度が高いのは、①インターネット境界のファイアウォール/プロキシログ、②認証の要であるActive Directoryログ、③攻撃の最終標的となるエンドポイントログ（特にEDRのテレメトリ）です。これらを基盤とし、徐々にWebサーバーやデータベースログに対象を広げるのが効果的です。

Q3: 中小企業でもキルチェーンに基づいた対策は可能ですか？

A3: 可能です。高価なツールがなくても、キルチェーンの考え方は応用できます。例えば、OS標準のイベントログ設定を強化する、オープンソースのIDSを導入する、UTM（統合脅威管理）のログを定期的に確認するなど、低コストで始められる対策は多くあります。重要なのは、自社の重要資産を把握し、そこへの攻撃経路をキルチェーンに沿って想定し、限られたリソースを効果的な監視ポイントに集中させることです。

この記事のまとめ

サイバーキルチェーンを理解することで、攻撃者の行動を予測し、体系的なインシデントレスポンス計画を立てることが可能です。
偵察、武器化、配送、攻撃、インストール、C2通信、目的の実行という7段階に応じたログ監視と具体的なアクションが被害を最小化します。
早期検知のためには、ファイアウォール、エンドポイント、認証ログなどの多様なテレメトリ収集と分析が不可欠です。
SIEM、EDR、SOARといったセキュリティツールの導入と適切な運用が、サイバー防御能力を大幅に向上させます。
自社のセキュリティ体制をキルチェーンの視点で見直し、常にプロアクティブな対策を講じることで、変化する脅威に対応しましょう。

マモリスのご紹介

マモリス（Mamoris）は、企業の情報資産を守るためのセキュリティサービスです。
端末上の操作や各種ログをもとに、社内不正や情報漏えいにつながりやすいリスクの“兆し”を可視化し、状況に応じた対策につなげます。
セキュリティと業務効率のバランスを大切にしながら、現場で運用しやすい形で「見える化 → 判断 → 改善」を進められるのが特長です。
詳しくは公式サイトをご覧ください：mamoris-secure.com

初回公開日：2026年02月18日

記載されている内容は2026年02月18日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。また、記事に記載されている情報は自己責任でご活用いただき、本記事の内容に関する事項については、専門家等に相談するようにしてください。