サイバーセキュリティ業界で最も頻繁に引用される「ベンチマーク」のひとつが、再びスライド資料やマーケティング資料を賑わせている。MITRE が、エンタープライズ向けセキュリティソリューションを対象とした 2025 年の ATT&CK 評価結果を公開したのだ。
今年の評価サイクルには、Acronis、AhnLab、CrowdStrike、Cyberani、Cybereason、Cynet、ESET、Sophos、Trend Micro、WatchGuard、WithSecure の 11 社が参加した。MITRE ATT&CK 評価は、人工的なラボテストではなく、現実世界の攻撃に近い条件下で商用製品がどのように機能するかを示すことを目的とした独立評価として位置づけられている。
2025 年には、MITRE の専門家が 2 つの高度な攻撃シナリオをモデル化した。1 つ目はサイバー犯罪グループ Scattered Spider による作戦に着想を得たもので、2 つ目は中国の国家支援グループ Mustang Panda の戦術を参考にしている。特筆すべきは、Scattered Spider シナリオが、ATT&CK 評価として初めて、従来のエンタープライズネットワークだけでなく、クラウドインフラを標的とする攻撃に対する製品の応答を正式に評価した点である。さらに今回のサイクルでは、攻撃者が侵入の下準備として情報収集や偵察活動を行っている段階を検知するベンダーの能力を、別枠で評価対象に加えている。
MITRE は、テスト手法そのものの焦点が大きくシフトしたことを強調している。保護と封じ込め、すなわちソリューションが敵対者の行動をどれだけ効果的にブロックし、リアルタイムで脅威を隔離できるかに、より重きが置かれるようになった。検知能力も依然として評価の一部だが、SOC アナリストに明確なコンテキストを提供し、価値の低い通知の氾濫による疲弊を軽減する、高精度なアラートの重要性がこれまで以上に高まっている。
ATT&CK 評価 2025 の完全な結果は MITRE のウェブサイトで公開されており、テクニック別、攻撃フェーズ別、アラート種別ごとの詳細な内訳が確認できる。例年どおり、MITRE はこのプログラムがベンダーを順位付けしたり勝者を決めたりするものではないと強調している。このレポートの目的は、組織が自社のアーキテクチャ、運用プロセス、成熟度レベルに最も適合するソリューションを判断できるよう、透明性の高いエビデンスベースのデータを提供することにある。
例年同様、参加ベンダーは自社の成果をいち早くアピールした。プレスリリースやブログ記事では、「当社が 1 位だった」といった明示的な表現は慎重に避けつつも、評価シナリオの特定の部分で 100% の検知または防御を達成した領域を前面に押し出している。
ここで思い出しておきたいのが、昨年の Forrester アナリスト Allie Mellen 氏による注意喚起だ。同氏は、「MITRE テストで 100% を達成した」といった主張は懐疑的に受け止めるべきだと警告している。Mellen 氏によれば、そのような発言は多くの場合、レポートの都合のよい部分だけを選んで提示している、現実の運用環境では非現実的なほど攻撃的な設定に依存している、あるいは本来は製品改善の好機であるはずの参加をマーケティング競争に変えてしまっている、といった状況のいずれか、もしくは複数を示唆しているという。
2025 年の結果をさらに興味深いものにしているのが、目立つ不参加企業の存在だ。Microsoft、Palo Alto Networks、SentinelOne といった大手は、今回のサイクルへの参加を見送った。公式には、MITRE プログラムには多大なリソースと人員が必要であり、他の優先事項を優先したと説明している。顧客にとっては、最新の比較結果に主要なマーケットリーダーの一部が含まれていないことを意味する一方で、これらのベンダーは依然として、過去の ATT&CK 評価サイクルをマーケティング資料の中で引用し続けている。
翻訳元: https://meterpreter.org/mitre-attck-evaluation-2025-scattered-spider-mustang-panda/
