MITER D3FENDとは何?

この度、MITERよりD3FENDがリリースされたため、MITERのToward a Knowledge Graph of Cybersecurity Countermeasures(サイバーセキュリティ対策のナレッジグラフに向けて)を訳しました。

なおナレッジグラフの整備にはなるべく多くの人の協力を必要としておりますので、D3FENDに関するコミュニティのフィードバックをMITREは歓迎しております。

私の訳したD3FENDとは、そもそも何なの?という疑問をお持ちになる方が多いかと思います。

D3FENDナレッジグラフのユーザーインターフェイス:戦術とテクニックの概要

そこで、少しかいつまんで説明したいと思います。

・どういう事が出来るものなのか

出来ることの一つとして「D3FENDはMITRE ATT&CKのナレッジベースのように活用できる。」ことが挙げられます。

MITRE ATT&CKは既にご存知かもしれませんが、攻撃手法やツールなどに関する詳細な情報を、実在の攻撃シナリオに即してデータベース化した「ナレッジベース」としての側面を持ちます。例えば各セキュリティベンダーの製品(McAfeeやSymantec、TrendMicro、Microsoft、ESET、Fortinet、Paloalto、F-Secure、FIEREYE、Cyberreason…など)に対してMITRE ATT&CKで定義されている攻撃シナリオに沿って実際に攻撃を実行し、それがどのように検知できるかのデータを公開しています。例えば、Carbanak  とFIN7の攻撃についてTactics(戦術)、Techniques(テクニック)、Subtechniques(サブテクニック)、Substep(サブステップ)まで具体的な攻撃シナリオを公開しています。

attackevals.mitre-engenuity.org

一方でD3FENDは、サイバー攻撃に対する防御的な戦術と手法を提供します。つまり、D3FENDを用いればベンダー固有の用語や専門用語ではなく、抽象的で一般的な言葉から関連づけられた具体的な使い方まで辿ることができます。例えば、防御についてトップレベルのテクニック(Harden:堅牢 , Detect: 検出, Isolate:分離 , Deceive:欺く , Evict:撤去 )を基本テクニックとして、様々な防御テクニックが派生していきます。

例えば、堅牢(Harden)から資格情報の堅牢化(Credential Hardening)の「強力なパスワードポリシー(Strong Password Policy)」を選択してみます。

d3fend.mitre.org

そうすると、ダイアログがポップアップして「強力なパスワードポリシー(Strong Password Policy)」詳しいテクニックを確認できます。

具体的には以下のような記載があります。

Definition(定義)

パスワード強度を高めるためにシステム構成を変更する。

How it works(使い方)

パスワード強度のガイドラインには、長いパスワード、ASCII文字またはUnicode文字を含むパスワード、およびシステムが一般的に使用するパスワードまたは漏洩したパスワードのリストに対して新しいパスワードをスクリーニングすることなどが含まれます。

Considerations(考慮事項)

非常に複雑なパスワード要件により、ユーザーはパスワードをテキストファイルに保存したり、ポリシーに一致する分かりやすいパスワードを選ぶ可能性があります。

Digital Artifact Relationships(デジタルアーティファクトの関係):

この対策手法は、特定のデジタルアーティファクトに関連しています。詳細については、アーティファクトノードをクリックしてください。 

ここでアーティファクトノード Password をクリックしてみます。するとPasswordについて詳細が表示されます。

アーティファクトの詳細:パスワード

オブジェクトのプロパティ

名前 パスワード
識別子 d3f:パスワード
定義 パスワードは、パスコードと呼ばれることもあり、秘密の記憶で通常は文字列でユーザーの身元を確認するために使用されます。NISTデジタルIDガイドラインの用語を使用すると、秘密はclaimant(要求者)と呼ばれる本人によって記憶され、要求者の身元を確認するのはverifier(認証者)と呼ばれます。要求者が認証プロトコルを介して認証者にパスワードを正常に提示すると、認証者は要求者の身元を推測することができます。
定義元 https://dbpedia.org/page/Password
同義語 パスコード

親クラス

ここでPasswordの詳細について確認することができました。では元あった「強力なパスワード(Strong Password Policy)」ダイアログへ戻ります。

ダイアログで下の方へスクロールすると「関連するATT&CKテクニック」が確認できます。ここでは強力なパスワードに対して、どんなサイバー攻撃に対処できるものかナレッジグラフで把握できます。まだマッピングは実験的なものであり、コミュニティの協力によって追加・更新されていくことを目指しています。

ここまでD3FENDによって出来ることの一つとして、サイバー攻撃に対する防御的な戦術と手法を提供されており、具体的に「強力なパスワードポリシー(Strong Password Policy)」による防御テクニックを確認してみました。

・例えばどういった場面で役立つか

自社やクライアントのセキュリティ対策を分析する

ひとつの例ではありますが、D3FENDは、サイバー攻撃に対する防御テクニックのナレッベースとして網羅的に把握することができます。これ用いて自社のセキュリティ対策に漏れがないことを、全てではありませんが確認できると思います。
一方で、セキュリティ対策がされていない場合の、予想されるリスクとして具体的な攻撃方法など「関連するATT&CKテクニック」を用いて把握できます。※ただしマッピングは実験的なものであり、コミュニティの協力によって追加・更新されていくことを目指しています。
更に、自社やクライアントから要求されたセキュリティ対策と自身が提案しているセキュリティ対策に齟齬がないか、更に代替案などを検討する際にも利用可能だと思います。
また、ナレッジベースとしてサイバー攻撃に対する防御テクニックの教育や学習にも辞書代わりとして使えるかもしれません。

そして、もっと沢山の利用方法があると思います。今後も気付いたことがあれば付け加えたいと思います。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター