キルチェーン

キルチェーンの概念とその応用

キルチェーン（Kill Chain）という言葉は、その起源が軍事用語であり、攻撃のプロセスを段階的に説明するために使われてきました。このモデルは、以下のような重要なステップに分かれています：

1. 目標の識別：標的を特定します。
2. 目標への武力の指向：攻撃に向けた準備を行います。
3. 目標を攻撃するかどうかの決心と命令：実際に攻撃を行うか決定します。
4. 目標の破壊：最終的に攻撃によって標的を破壊します。

このモデルを逆に利用して、敵のキルチェーンを破壊するという考え方は、防御戦略や先制的な措置に関連しています。近年、このキルチェーンの概念は、Lockheed Martinによって情報セキュリティの領域でも利用されています。

キルチェーン・モデルの情報セキュリティにおける応用

セキュリティ分野におけるキルチェーンは「サイバーキルチェーン」とも呼ばれ、攻撃のプロセスを次の7つの段階に分類します:

1. 偵察（Reconnaissance）：標的組織に関する情報を収集し、事前に調査を行います。
2. 武器化（Weaponization）：エクスプロイトコードやマルウェアを作成します。
3. 配送（Delivery）：作成したマルウェアをメールやWebなどを介して標的に送り込みます。
4. 攻撃（Exploitation）：標的組織内でマルウェアを実行させる過程です。
5. インストール（Installation）：標的組織のシステムにマルウェアを感染させます。
6. 遠隔操作（Command and Control）：感染したシステムを外部サーバに接続し、遠隔操作による管理を行います。
7. 目的実行（Actions on Objective）：標的組織から情報を盗むなど、最終的な目的を達成する行動に移ります。

このように、サイバーキルチェーンは、攻撃者がどのようにして標的にアプローチし、攻撃を実行するかの具体的なプロセスを示しています。しかし、全ての段階が必ずしも使用されるわけではなく、各段階において異なるアクションが存在するため、攻撃手法は無限の組み合わせを持つことになります。

キルチェーン・モデルに対する批判

キルチェーンのモデルは、セキュリティ上の脅威を評価し、予防するための工具として広く使われていますが、その利用にはいくつかの批判もあります。主な問題点として、防御されたネットワークの外側で行われる複数のステップに対し、攻撃者の行動を事前に把握し、対抗手段を講じることが困難である点が挙げられます。さらに、境界ベースの防衛戦略に偏重したアプローチも批判の的となっており、これがリアルタイムでの防御能力を削ぐ要因になっていると指摘されています。

このように、キルチェーンは情報セキュリティの分野でも注目されていますが、その有用性と限界については引き続き議論が必要です。

もう一度検索