ATT&CKの検出品質を上げる4つのステップ｜カバレッジ重視から脱却しSOC運用を高度化

ATT&CKマッピングは、自社のセキュリティ対策がどの攻撃手法（TTPs）に対応できているかを可視化する上で非常に有効な手段です。しかし、このマッピング作業が完了したことをゴールにしてしまうと、サイバーセキュリティ運用の実態との間に乖離が生まれる可能性があります。ここでは、カバレッジだけを重視することの限界、いわゆる「カバレッジの罠」について解説します。

ATT&CKマトリックス上で、自社のセキュリティ製品やSIEMルールがカバーするテクニックを色塗りする作業は、対策状況を把握する第一歩です。しかし、「色が付いている」という事実が、「その攻撃を確実に検出・防御できる」ことを意味するとは限りません。

例えば、「T1059.001 PowerShell」というテクニックに対し、PowerShellの起動を検知するだけのDetection Ruleをマッピングしたとします。カバレッジ上は対策済みとなりますが、実際の運用では、管理者が正規業務でPowerShellを使用するたびにアラートが鳴り、膨大な誤検知を発生させるでしょう。

このように、カバレッジの数字だけを追い求めると、ルールの「質」が考慮されず、実用性の低いセキュリティ監視体制に陥るリスクがあります。真の目的は、マトリックスを埋めることではなく、実際の攻撃を精度高く検出することにあるべきです。

カバレッジを増やすために安易なDetection Ruleを適用すると、正常なアクティビティまで異常と判断する誤検知が増加します。

誤検知が増えると、セキュリティアナリストは日々大量のアラートのトリアージに追われます。この状態が続くと「アラート疲れ」に繋がり、集中力やモチベーションが低下し、最も危険なのは、大量の誤検知に紛れ込んだ本当に危険なアラートを見逃してしまうことです。

SOC（Security Operation Center）が効率的に機能するためには、アラートの「量」を適切に管理し、「質」の高いアラートに集中できる環境が不可欠です。

現代のサイバー攻撃は、複数のTTPsを連続的に実行する「シナリオ」で構成されます。個々のTTPsに対応するDetection Ruleを個別にマッピングするだけでは、これらの攻撃活動の連なり、つまり「攻撃の文脈（コンテキスト）」を捉えることができません。

例えば、「不審なPowerShell実行」と「管理者アカウントでの不審なログイン」というアラートが別々に発生した場合、単発のイベントとして見過ごされるかもしれません。しかし、これらが特定の端末で短時間に連続して発生した場合、権限昇格後の内部活動という重大な兆候である可能性があります。カバレッジ重視のマッピングでは、こうしたイベント間の繋がりが見えにくいのです。

カバレッジの罠を克服し、実効性のあるセキュリティ監視を実現するためには「検出品質（Detection Quality）」という考え方が重要です。これは、単に「検知できるか」だけでなく、検知の精度や信頼性、運用効率を総合的に評価する指標です。

これら3要素はトレードオフの関係にあるため、自社のリスク許容度や運用リソースを考慮し、バランスを最適化することが検出品質の向上に繋がります。

これらの指標で既存ルールを定期的にレビューし、改善の優先順位を付けましょう。

検出品質を飛躍的に向上させる鍵が相関ルール（Correlation Rule）です。これは、複数の異なるイベント（ログ）を時間軸や発生元などの条件で組み合わせ、より確度の高い脅威を検出します。

例えば、以下のイベントが同一端末で連鎖した場合に、単一の重大なアラートとして通知します。

• 外部からの不審な通信（ファイアウォールログ）
• 該当端末でのマルウェア検知（EDRログ）
• 内部ネットワークへのスキャン活動（IDS/IPSログ）

これにより「コンテキストの欠如」問題を解決し、攻撃の連鎖を可視化できます。効果的な相関ルールの設計は、SIEMチューニングの中核であり、SOC運用の高度化に直結します。

ここからは、ATT&CKフレームワークを活用して検出品質を具体的に向上させるための実践的な4ステップを解説します。

すべてのATT&CKテクニックを高品質でカバーすることは非現実的です。限られたリソースを有効活用するため、自社にとってリスクの高いTTPsを特定し、優先順位を付けます。

この2つのアプローチを組み合わせ、「攻撃者が使いやすく、かつ自社へのインパクトが大きい」TTPsから対策を進めるのが効果的です。

優先順位付けしたTTPsに基づき、関連するDetection Ruleの品質を評価し、改善（チューニング）します。

1. ログソースの確認と拡充：質の高い検出は、質の高いログから生まれます。TTPsの検出に必要なログ（コマンドライン実行ログ、PowerShellスクリプトブロックログ等）がSIEMに収集されているか確認し、不足していればEDRやOSの監査設定を見直します。
2. 誤検知の原因分析と削減：頻繁に誤検知を起こすルールは原因を分析します。正規ツールの場合はホワイトリストに登録したり、特定のIPアドレスを除外したりと、環境に合わせたきめ細やかなチューニングを行います。
3. 検出ロジックの高度化：単一のイベント（例：「reg.exe」の実行）だけでなく、「親プロセスがOffice製品で、かつreg.exeが特定のレジストリキーを変更しようとしている」のように、複数の条件を組み合わせることで精度を高めます。

Detection Ruleの個別チューニングと並行し、攻撃シナリオ全体を捉える相関ルールを設計・実装します。これは、セキュリティ監視を「点」から「線」へ進化させる重要なプロセスです。

• シナリオベースのルール作成：例えば、「T1566 フィッシング」→「T1059.001 PowerShell」→「T1078 有効なアカウントの悪用」といった一連の流れを想定。各段階のアラートが特定の時間内に同一ホストで発生した場合、深刻度の高い相関アラートを生成します。
• 攻撃タイムラインを意識した時間窓の設定：攻撃者は数時間〜数日間潜伏することがあります。相関ルールがイベントを関連付ける期間（時間窓）を適切に設定することが重要です。短すぎると検知漏れ、長すぎると誤検知の原因となります。

検出品質の向上は一度きりの活動ではありません。新たな攻撃手法や環境変化に対応するため、継続的な改善プロセス（PDCAサイクル）を回します。

• Plan (計画)：定期的なルールレビューの計画、インシデントレスポンスからのフィードバック項目の整理。
• Do (実行)：ルールのチューニング、無効化、新規作成を実施。
• Check (評価)：誤検知率や検出実績を評価。脅威ハンティングで見つかった新たな知見を分析。
• Act (改善)：評価結果を基に、次のルール改善計画に繋げる。

インシデントレスポンスの結果や、脅威ハンティングで得た知見をフィードバックする仕組みが、検出能力をプロアクティブに強化する鍵となります。

検出品質の向上には、ルールやツールだけでなく「人」と「プロセス」の成熟も不可欠です。

ATT&CKマッピングはセキュリティ対策の重要な第一歩ですが、ゴールではありません。カバレッジの可視化を達成した後は、その「質」、すなわち「検出品質」に目を向けることが、SOC運用を次のレベルへと引き上げる鍵です。

カバレッジの数字だけを追うのではなく、誤検知を削減し、攻撃のコンテキストを捉え、本当に重要な脅威に集中できる体制を築きましょう。本記事で解説した4つのステップを通じて、ATT&CKフレームワークを単なるマトリックスから、日々のセキュリティ運用に息づく実践的なツールへと昇華させ、巧妙化するサイバー攻撃に効果的に対抗していきましょう。

A1: まずは現状把握から始めましょう。SIEMで最も多くアラートを生成しているDetection Ruleトップ10をリストアップし、それぞれの誤検知率を調査します。これにより、最もチューニング効果の高い「ノイジーなルール」が特定できます。同時に、過去のインシデントが既存ルールで検知できたかを振り返り、検出の穴を見つけることも有効です。この2つのアプローチから改善の優先順位を付けるのが良いスタートです。

A2: 良い相関ルールは、単独では警告度が低いイベントを組み合わせ、攻撃シナリオとして意味のある繋がりを見つけ出すものです。例えば、「①深夜にVPN経由でログイン（リモートアクセスログ）」→「②そのユーザーが普段アクセスしない機密情報サーバーへアクセス試行（ファイルサーバーログ）」→「③短時間に大量のファイルをダウンロード（DLPログ）」という3つのイベントを組み合わせるルールです。各イベント単体では異常と判断しにくくても、連鎖させることで情報窃取の兆候を高い精度で検出できます。

A3: 複数のスキルが求められます。まず、各種ログ（Windowsイベントログ、ファイアウォール、EDR等）を深く理解する知識は不可欠です。次に、正規のシステム動作と悪意のある活動を見分けるための、OSやネットワークの知識。そして最も重要なのが、攻撃者の視点（TTPs）を理解し、「攻撃者ならどう動くか」を想像する能力です。これらの技術スキルに加え、論理的思考力やコミュニケーション能力も重要になります。