IT用語集 2023/10/27

サイバーキルチェーンとは？わかりやすく10分で解説

コラム

サイバーキルチェーンは、サイバー攻撃を偵察から目的達成までの7段階で整理したモデルです。攻撃を一件の出来事として扱うのではなく、途中のどの段階で検知し、遮断し、被害範囲を絞るかを考えるために使います。特に標的型攻撃やランサムウェアのように複数工程で進む攻撃では、製品ごとの対策を並べるだけより、段階ごとに守備範囲を分けた方が抜けを見つけやすくなります。

サイバーキルチェーンとは

サイバーキルチェーンは、Lockheed Martin が侵入分析の枠組みとして示したモデルです。攻撃者が目標に到達するまでの行動を段階で捉え、防御側がどこで介入できるかを整理します。攻撃の全体像を共有しやすいため、技術対策だけでなく、監視体制、運用手順、訓練計画の整理にも使えます。

このモデルでは、攻撃側が各段階を順に進めなければ最終目的に届きません。防御側は一か所でも検知や遮断に成功すれば、その先の進行を止められます。つまり、完全な侵入防止だけに依存せず、複数の地点で介入できる構成を考えるための道具です。

サイバーキルチェーンの7段階

1. 偵察 Reconnaissance	攻撃者が標的組織の公開情報を集める段階です。企業サイト、採用情報、SNS、外部公開資産、メールアドレス規則などが対象になります。公開情報の点検や外部公開資産の棚卸しが、この段階の対策になります。
2. 武器化 Weaponization	収集した情報をもとに、マルウェアや不正文書、偽ログイン画面などの攻撃手段を準備する段階です。防御側が直接見えにくい工程ですが、想定手口を把握して検知ルールや訓練内容へ反映する対象になります。
3. 配送 Delivery	攻撃手段を標的へ届ける段階です。メール添付、URL誘導、改ざんサイト、USB媒体、取引先経由の侵入などが含まれます。メール対策やWebフィルタリングは、この段階で効きます。
4. 悪用 Exploitation	配送された手段が成立し、脆弱性の悪用や利用者の操作によって侵入が始まる段階です。脆弱性対策、マクロ制御、MFA、利用者教育が関わります。
5. インストール Installation	侵入後にマルウェアや永続化の仕組みを端末やサーバーへ配置する段階です。攻撃者が継続的に活動する足場を作る工程なので、EDR、アプリ制御、権限管理が関わります。
6. 遠隔操作 Command and Control	攻撃者が外部から侵害端末と通信し、追加の指示やツール投入を行う段階です。HTTP/HTTPS や DNS に紛れることもあるため、通信監視、プロキシ、ゼロトラスト型のアクセス制御が関わります。
7. 目的の実行 Actions on Objectives	情報窃取、暗号化、改ざん、業務妨害など、攻撃者の目的が実行される段階です。DLP、権限分離、データのバックアップ、復旧手順の整備が被害範囲に影響します。

サイバーキルチェーンを使う意味

サイバーキルチェーンの利点は、対策を「製品名」ではなく「攻撃段階」で整理できる点にあります。メール対策、EDR、認証強化、バックアップがそれぞれどの段階に関わるのかを並べると、対策が前半に偏っているのか、侵入後の監視が薄いのかを確認しやすくなります。

もう一つの利点は、関係者の会話を揃えやすい点です。SOC、運用部門、情報システム部門、経営層が「配送段階の対策が薄い」「遠隔操作段階の検知が弱い」といった形で話せるようになると、投資判断や改善優先度が合わせやすくなります。

実際の対策は、単一製品で完結しません。初期段階ではメール、Web、認証の対策が効き、侵入後は端末監視、通信監視、権限分離、復旧手順が関わります。したがって、多層防御を段階ごとに分担して設計する視点が必要になります。

MITRE ATT&CKとの違い

サイバーキルチェーンと MITRE ATT&CK は競合するものではなく、見る粒度が違います。キルチェーンは攻撃の進行を段階で捉える枠組みで、ATT&CK は攻撃者が使う具体的な戦術と技術を整理した知識ベースです。全体の流れを掴むときはキルチェーン、具体的な検知ルールや対策の詰めでは ATT&CK を重ねると整理しやすくなります。

サイバーキルチェーン	攻撃を偵察から目的達成までの段階で捉えます。どの段階で介入するか、対策の抜けがどこにあるかを把握しやすくなります。
MITRE ATT&CK	攻撃者の戦術や技術をより細かく整理します。検知項目、ルール整備、プレイブック作成の粒度を上げるときに向いています。

活用時の注意点

サイバーキルチェーンは便利ですが、すべての侵害が教科書どおり一直線に進むわけではありません。攻撃者が段階を行き来することもありますし、クラウドやIDを起点にした侵害では、境界型の発想だけでは整理しにくい場面もあります。したがって、キルチェーンだけで実態を説明し切ろうとせず、必要に応じて詳細な手口分析と併用します。

また、モデルを知っていても、観測できるログがなければ実務では使えません。メールログ、端末ログ、認証ログ、通信ログ、クラウド監査ログが分散したままだと、どの段階で兆候が出たかを追いにくくなります。SIEM や SOAR を使うかどうかにかかわらず、まず「何を見られるのか」を整理する必要があります。

実務での使い方

現在の対策を7段階へ割り当て、空白の段階を洗い出します。
各段階で使えるログを確認し、観測できない箇所を明確にします。
検知後の初動手順を段階ごとに決め、隔離、遮断、調査、復旧の流れを整えます。
フィッシング、脆弱性悪用、ランサムウェアなどのシナリオで訓練し、手順の不足を直します。

この進め方を取ると、対策を「導入したかどうか」だけで終わらせず、「どの段階で何ができるか」で確認できます。サイバーキルチェーンは、攻撃の説明図というより、改善項目を並べ直すためのフレームワークとして使う方が実務に合います。

まとめ

サイバーキルチェーンは、攻撃を7段階に分解し、どの地点で検知し、遮断し、被害範囲を抑えるかを整理するための枠組みです。前半だけを固めるのではなく、侵入後の監視や復旧まで含めて設計する視点を持てる点に価値があります。全体像の整理にはキルチェーン、具体的な手口や検知の詰めには ATT&CK を使い分けると、対策の優先順位を合わせやすくなります。