クラウド環境
Trend Vision One™、2025年のMITRE ATT&CK®評価においてScattered SpiderおよびMustang Pandaに対する対応力を示す
MITREが実施する最新の企業向けセキュリティ製品評価プログラム「MITRE ATT&CK® Evaluations: Enterprise 2025」では、初めてクラウドを対象とした本格的なアドバーサリーエミュレーションが導入され、複数プラットフォームにわたるテストも拡張されました。評価の焦点は、Scattered Spiderによるクラウド中心の攻撃と、Mustang Pandaによる長期的なサイバー諜報活動という、二つの高度な脅威領域に置かれています。
2025年MITRE ATT&CK®評価は、再び世界を代表するサイバーセキュリティプラットフォームの実力を試す場となり、Trend Vision One™もその挑戦に応えました。
今年の評価であるEnterprise Round 7(ER7)では、これまでで最も複雑かつ現実に即したテスト環境が導入され、オンプレミスのシステム、クラウドワークロード、コンテナ化されたアプリケーションにまたがる多段階かつハイブリッドな攻撃が再現されました。
自律的で相関性のある検知とリアルタイムの防御が求められるこの評価において、Trend Vision Oneは攻撃チェーンの全フェーズにわたり高いパフォーマンスを発揮したと考えています。これにより、検知およびレスポンス分野における信頼できるリーダーとしての立ち位置があらためて裏づけられ、セキュリティ強化と運用効率の向上を支える、信頼性の高いリアルタイム脅威検知と対応を提供できることが示されました。
本サイクルには11社のベンダーが参加しました。従来どおり、MITREはソリューションの順位付けや採点を行っていません。その代わりに、各組織が自らの運用要件に基づいて判断できるよう、透明性の高いデータを提供しています。そのため、検知カバレッジ、アラートの精度、防御性能、クラウド可視性など、自社環境にとって最も重要な指標に注目することが重要です。
新たな検証時代の到来:MITRE ATT&CK Evaluations ER7(2025)で何が変わったのか
2025年の評価は、MITREのアプローチにおける大きな進化を示すものとなりました。従来の年次評価とは異なり、今回のラウンドではオンプレミス環境とクラウド環境の双方を対象とした攻撃に加え、Reconnaissance(偵察)戦術も新たに含まれています。これにより、現在のSOCチームが実際に防御しているハイブリッド環境がより忠実に再現されると同時に、SOCチームが効果的なエンタープライズ向けツールに依存する必要性が浮き彫りになりました。こうしたツールにより、進行中の脅威を特定して阻止し、予防と検知の両手法を横断した一元的な可視性を確保できます。
具体的には、現代のエンタープライズ環境を反映するため、MITREはAWSワークロード、IDおよびアクセス管理(IAM)の操作、ならびにDockerベースのアプリケーション(GitLab、Airbyte、AuthenTik、WeKan)を評価環境に追加しました。
これにより、ソリューションが次の点に対応できるかが直接検証されました。
- 攻撃者の初期段階の行動を特定し、可能な限り活動を未然に防止できるか
- 過剰なノイズを生むことなく精度の高いアラートを提示し、低シグナルのイベントを相関分析できるか
- クラウド資産に影響を及ぼすエンドポイント上のID探索に関連する活動を検知できるか
また、今年のエミュレーションでは、二つの高度なアドバーサリーが特に取り上げられました。
シナリオ1:「Scattered Spider」に着想を得たエミュレーション
この金銭的動機を持つ脅威グループ「Scattered Spider」は、次の点で知られています。
- ソーシャルエンジニアリングとMFA回避手法の組み合わせ
- セッションハイジャック
- クラウド環境におけるIDの悪用
- クラウドネイティブなツールを用いたラテラルムーブメント
- クラウドコンソール権限の迅速な悪用
このシナリオでは、クラウドにおける検知能力に加え、AWSサービスからのデータ取り込みとログ管理に大きな負荷がかけられました。この分野において、Trend Vision Oneは高度な分析能力を発揮したと考えています。
シナリオ2:「Mustang Panda」に着想を得たエミュレーション
中華人民共和国を背景とする国家支援型のサイバー諜報グループ「Mustang Panda」は、次の点に焦点を当てています。
- 秘密性の高い活動と長期的な持続性
- カスタムインプラントの使用
- 複数プラットフォームにまたがる多段階侵入
- 隠密性の高いコマンドアンドコントロール
- データのステージングおよび持ち出し
このシナリオでは、高精度な振る舞い分析と、誤検知率を高めることなく微細な兆候を可視化する能力が検証されました。
2025年MITRE ATT&CK®評価結果のハイライト
今回の評価により、Trend Vision Oneが統合型セキュリティオペレーションプラットフォームに向けて進めてきた取り組みの進展が裏づけられ、検知、防御、クラウド可視性、分析精度の各領域において高いパフォーマンスを発揮したと考えています。
設定変更後に確認された主な成果は次のとおりです。
- 主要な攻撃ステップ全体にわたる分析カバレッジ100%
- 評価対象となったすべての攻撃機会に対する防御率100%
- 検知と防御の双方を含むクラウドレイヤーのカバレッジ100%
これらの結果は、エンドポイント、サーバ、ネットワークトラフィック、クラウドのコントロールプレーン、コンテナ化されたアプリケーションを含む、現代的なハイブリッド攻撃面全体において、初期侵入から影響段階に至るまで一貫した可視性が確保されていることを示していると考えています。また、この成果は、過去1年間に提供されてきた複数の中核的な強化、特に振る舞い検知、IDを意識した検知、クラウドネイティブ分析、ならびにLinux、Microsoft Windows、AWS環境における防御ロジックの向上を反映していると捉えています。さらに、Enterprise 2024(ER6)と比較して、Trend Vision Oneが生成するアラート数を大幅に削減しつつ、可視性とのバランスを保っている点も、ER7において示された重要なポイントだと見ています。
今年はMITREによりDockerベースのアプリケーションシナリオも新たに追加され、評価範囲が拡大されました。その中でも、Trend Vision Oneは、現在のアーキテクチャで観測可能なテレメトリの範囲において、高い相関性と検知力を維持しました。
今回の評価ではTrend Vision One™ Agentic SIEMはまだ活用されていませんが、これらの結果は、今後チームが期待できる性能の強固なベースラインを示すものだと考えています。Trend Vision OneのAI搭載エンタープライズ向けサイバーセキュリティプラットフォーム全体では、サードパーティログ取り込みの拡張、HTTPSや暗号化セッションの可視化強化、より高度な振る舞い分析、レイヤー横断の相関分析の深化といった改善を提供しています。これにより、ハイブリッド環境全体で、より明確な可視性、より正確な検知、そして強化された防御を実現します。
これらの成果は、より統合され、効率的なセキュリティオペレーションに向けた継続的な前進を示すものだと考えています。現在のプラットフォームの強みを示すと同時に、より広範な自動化、相関分析、アナリスト支援機能への基盤を築くものでもあります。これは、クラウド検知・対応(CDR)やAgentic SIEM、そして次世代のTrend Vision Oneを通じて提供されます。脅威がどこで発生しても、攻撃チェーンのあらゆる段階において、より明確な可視性、迅速な洞察、そして強固な防御を提供するという方向性は、今後も変わりません。
今年の評価がセキュリティチームに意味すること
今年のER7では、期待値が一段と引き上げられ、エンドポイントのみを対象とした評価の枠を超えました。特に、複数のデータソースを組み合わせて重要な事象の全体像を説明する必要があるハイブリッド環境において、テレメトリを自動的に相関させ、意味のあるアラートへと結び付けるプラットフォームの重要性が、あらためて示されています。
今年の結果は、こうした変化と強く合致していると考えています。Trend Vision Oneは、運用の現実に即したアプローチを採用し、主要な攻撃ステップ全体にわたって、信頼性の高いアラートを適切なバランスで生成しました。これにより、アナリストに過度な負荷をかけたり、重要な攻撃者の活動を見えにくくしたりすることなく、十分な可視性を確保できたと捉えています。このバランスは、複数レイヤーにまたがる検知、クラウドを意識した分析、ID相関、そしてハイブリッド環境全体で一貫して機能する防御への長年の投資を反映しているものです。
毎回のラウンドと同様に、MITREが提供する詳細な内訳は、ソリューション改善の指針となる有益な示唆を与えてくれると考えています。これらの多くは、すでにTrend Vision Oneプラットフォーム全体で進行中の強化と方向性を同じくしており、今年の評価では、次の領域において、チームがさらなる強化を進める機会が示されました。
- サードパーティ製クラウドおよびアプリケーションログのカバレッジ拡充
- 盗まれたCookieの挙動など、暗号化セッションの不正利用に関する検知
- 相関分析と集約によるアラートの明瞭性の継続的な改善
より広範なテレメトリカバレッジと強化された分析機能を備えた、進化し続けるプラットフォームの恩恵を受けることができます。
これらの領域はすでに継続的な開発の優先事項に含まれており、Trend Vision Oneプラットフォーム全体で引き続き強化が進められます。今後も、テレメトリカバレッジの拡張、振る舞い分析の深化、ハイブリッド環境全体における検知精度の向上に注力していきます。何よりも、透明性を重視した継続的な改善に取り組み、現代の脅威とともに進化するプラットフォームを通じて、チームに価値を提供し続けることを約束します。
このように拡張されたテレメトリカバレッジと深度を増した振る舞い分析により、ハイブリッド環境全体での検知精度が高まり、継続的な改善と透明性のあるセキュリティ強化が実現されます。
トレンドマイクロについて
トレンドマイクロは、グローバルに展開するサイバーセキュリティ分野のリーダーとして、人、政府、企業の間でデジタル情報が安全にやり取りされる世界の実現を支えています。
同社は、セキュリティに関する専門知識とAIを活用し、世界中のクラウド、ネットワーク、エンドポイント、デバイスにわたり、50万社を超える企業と数百万人の個人を保護しています。
その中核にあるのが、AIを搭載したエンタープライズ向けサイバーセキュリティプラットフォームであるTrend Vision One™です。このプラットフォームは、サイバーリスクの可視化と管理、ならびにセキュリティオペレーションを一元化し、オンプレミス、ハイブリッド、マルチクラウド環境全体にわたる多層防御を提供します。
トレンドマイクロが提供する比類のない脅威インテリジェンスは、日々数億件に及ぶ脅威に対して、組織が先回りして防御できるよう支援します。
プロアクティブなセキュリティは、ここから始まります。
MITRE ATT&CK® Evaluationsについて
ATT&CK® Evaluationsは、MITREが採用する利害関係のない客観的な手法に基づいて構築されています。
サイバーセキュリティベンダーは、自社製品への理解を深めるとともに、ディフェンダーに対してソリューションの能力をより透明に示すことを目的として、この評価に参加しています。
MITREは、協調的かつ脅威インフォームドなパープルチーミングのアプローチを用い、ATT&CKフレームワークに基づいて、既知の攻撃者の振る舞いに対する各製品の検知能力と防御能力を評価します。
すべての評価結果は、次のサイトで公開されています。
attackevals.mitre-engenuity.org
参考記事:
Trend Vision One™ Stacks Up Against Scattered Spider and Mustang Panda in 2025 MITRE ATT&CK® Evaluations
By: Trend Micro
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)