Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics

この論文は、小規模企業などのリソース制約のある組織が直面するサイバー攻撃への対応課題を解決するため、自然言語処理を用いてサイバーインシデントをMITRE ATT&CK技術に自動マッピングし、CIS重要セキュリティコントロールやSMART指標と統合した「Cyber Catalog」フレームワークと、高精度な微調整済みモデルを提案するものである。

要約

この論文は、**「サイバー攻撃の被害報告書（文章）を、AI が自動的に読み解き、『どんな攻撃だったか』と『どう防げばいいか』を瞬時に教えてくれる仕組み」**を作ったという研究です。

特に、専門家が少ない中小企業でも使えるように、難しい作業を自動化しようとしています。

わかりやすくするために、**「病院」と「翻訳者」**の例えを使って説明しますね。

---

🏥 1. 問題：混乱する「患者（被害）」と「治療法（対策）」

サイバー攻撃が起きると、企業は「被害報告書（サイバーインシデント）」を受け取ります。これは、**「患者の症状を記した手書きのメモ」**のようなものです。

• 昔のやり方：
  専門医（セキュリティ専門家）が、このメモを一つずつ読み、
  1. 「これは『インフルエンザ（特定の攻撃手法）』だ！」と診断する。
  2. 「じゃあ、『インフルエンザ対策の薬（セキュリティ対策）』を処方しよう」と決める。
  3. 「薬が効いたか？数値で測れるか？」を確認する。

この作業は、手作業で非常に時間がかかり、専門医がいない中小企業では「診断」すらできないという問題がありました。

🤖 2. 解決策：天才的な「AI 翻訳者」と「辞書」

この研究では、2 つの大きなツールを開発しました。

A. 「サイバー・カタログ（Cyber Catalog）」という超辞書

これは、「攻撃手法（病気）」と「対策（薬）」と「効果測定（健康診断の数値）」がすべて結びついた、世界一詳しい辞書です。

• MITRE ATT&CK（攻撃手法）： 攻撃者が使った「手口」の辞書。
• CIS コントロール（対策）： 防ぐための「具体的な薬」の辞書。
• SMART 指標（効果測定）： 「本当に薬が効いたか」を測る「体温計や血圧計」。

この辞書があれば、どんな病気（攻撃）が来ても、すぐに適切な薬（対策）と、その効果の測り方がわかります。

B. 「AI 翻訳者（AI モデル）」

この辞書を使うために、「手書きの患者メモ（被害報告）」を、辞書の言葉（攻撃手法）に自動翻訳する AIを作りました。

• 普通の AI： 一般的な言葉はわかるけど、医療用語（サイバー用語）は少し苦手。
• この研究の AI： 7 万 5 千件以上の「過去の患者メモ」と「正しい診断」を勉強（学習）させ、**「超プロの専門医」**に育て上げました。

🎓 3. 勉強の工夫：どうやって AI を賢くしたの？

ただ本を読ませただけではダメでした。研究者たちは、AI をもっと賢くするための3 つの工夫をしました。

1. 人工的な患者を増やす（データ拡張）：
   実際の患者メモは少なかったので、AI（GPT-5）に「同じ病気だけど、言い回しを変えたメモ」を 100 倍も作らせました。これで AI は「同じ病気でも、書き方が違ってもわかる」ようになりました。
2. 似た病気を区別させる（ハードネガティブ・マイニング）：
   「インフルエンザ」と「風邪」は似ていますが、薬は違います。AI に「似ているけど違う病気」をたくさん見せて、**「あ、これはインフルエンザだ！風邪じゃない！」**と厳しく区別する力を養いました。
3. 同じ病気が複数ある場合の混乱を防ぐ：
   「同じインフルエンザ」の患者が何人かいても、AI が「これは違う病気だ！」と勘違いしないよう、学習のルールを工夫しました。

📊 4. 結果：どれくらいすごいのか？

この AI をテストした結果、驚異的な成績が出ました。

• 精度： 従来の AI と比べて、「診断の正解率」が約 37% も向上しました。
• 間違いの少なさ： 間違った診断をする確率が、従来の 3 分の 1 以下になりました。
• 安定性： どの患者（攻撃）に対しても、ムラなく正確に診断できるようになりました。

つまり、**「専門医が何時間もかけてやる作業を、AI が数秒で、かつ専門家並みの精度でやれる」**ようになったのです。

🚀 5. 何が嬉しいの？（実用性）

このシステムを使えば、以下のようなことが可能になります。

• 中小企業の救世主： 専門家が一人もいなくても、AI が「攻撃はこれだ！対策はこれ！」と教えてくれるので、セキュリティ対策が格段に楽になります。
• 無駄な出費の削減： 「どの対策が本当に効果があるか」を数値で測れるので、効果のない対策にお金を浪費しなくなります。
• 迅速な対応： 攻撃が起きた瞬間に、AI が即座に対策を提案してくれるので、被害を最小限に抑えられます。

まとめ

この論文は、**「AI にサイバー攻撃の専門知識を詰め込み、辞書（カタログ）とセットにして、誰でも簡単に『攻撃の診断』と『対策の処方』ができるようにした」**という画期的な研究です。

まるで、**「名医の脳みそと、膨大な医学辞書を持った AI 助手」**が、あなたの会社のセキュリティ室に常駐してくれるようなものです。これにより、サイバー攻撃という脅威に対して、誰でも冷静で正しい判断ができるようになります。

技術概要

論文「Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics」の技術的サマリー

本論文は、サイバー攻撃の頻発と高度化、特にリソースが限られた中小企業（SME）における対応の難しさを背景に、自然言語処理（NLP）を活用してサイバーインシデントを自動的に MITRE ATT&CK 手法、セキュリティコントロール、および定量的指標にマッピングする新しいフレームワークを提案しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

1. 問題定義 (Problem Statement)

現在のサイバーインシデント分析には以下の構造的な限界が存在します。

• 手動プロセスの非効率性: 非構造化のインシデント記述から攻撃手法（MITRE ATT&CK）を特定し、それに対応するセキュリティコントロール（CIS Controls など）を特定する作業は、高度な専門知識と多大な時間を要します。
• スケーラビリティの欠如: インシデントの量が増加するにつれて、手動プロセスはボトルネックとなり、対応の遅延や見落としを招きます。
• 主観的な評価: セキュリティコントロールの効果測定が定量的な指標ではなく、主観的な判断に依存しており、リスク軽減の効果を客観的に証明することが困難です。
• 知識の断絶: 脅威インテリジェンス、防御コントロール、効果測定指標の 3 つが分離されており、組織がこれらを統合的に運用するツールが不足しています。

2. 提案手法と方法論 (Methodology)

著者らは、以下の 5 つの段階からなる包括的なフレームワークを構築しました。

2.1. 「Cyber Catalog」の構築

セキュリティコントロール、攻撃手法、指標を統合した新しい知識ベース「Cyber Catalog」を開発しました。

• 構成:
  1. 基盤層: CIS Critical Security Controls v8（18 のコントロール、153 のセーフガード）。
  2. 中間層: MITRE ATT&CK 手法（攻撃者の行動パターン）。
  3. 指標層: 各コントロールの効果測定のための SMART 基準（Specific, Measurable, Achievable, Relevant, Time-bound）に準拠した定量的指標。
• 特徴: これらを CSV 形式で構造化し、インシデントからコントロール、そして測定可能な成果へと一貫したマッピングを可能にします。

2.2. 学習データの準備と拡張

• ベースデータ: 欧州サイバーインシデントリポジトリ（EuRepoC）から 762 件の「インシデント - 手法ペア」を収集し、専門家による手動ラベリングを行いました。
• 合成データ拡張: 大規模言語モデル（GPT-5）を用いて、元の 762 件のインシデントからそれぞれ 100 件の意味的に類似しつつ語彙的に多様な合成データを生成し、合計 76,200 件に拡張しました。
• 品質保証: BERTScore を使用して生成データの品質を評価し（F1 スコア閾値 0.75）、重複や低品質なデータを除去。最終的に 74,986 件の高品質なデータセットを構築しました。
• ハードネガティブマイニング: 類似するが異なる手法を「ハードネガティブ」として学習データに追加し、モデルが細かな区別を学習できるようにしました。

2.3. モデルのファインチューニング

• ベースモデル: all-mpnet-base-v2（Sentence Transformers）を選択。
• 損失関数の改良: 従来の MultipleNegativesRankingLoss (MNRL) は、同じ手法がバッチ内で複数回出現する場合に「偽のネガティブ」を生成する問題がありました。これを解決するため、重複を認識する DataLoader（NoDuplicatesDataLoader）とハードネガティブマイニングを組み合わせた改良版損失関数を使用しました。
• 学習環境: PyTorch、Sentence-Transformers ライブラリ、NVIDIA Quadro RTX 5000 GPU 上で 10 エポック学習を行いました。

3. 主要な貢献 (Key Contributions)

1. Cyber Catalog の公開: CIS Controls、MITRE ATT&CK、SMART 指標を統合した初の包括的な知識ベースを公開し、脅威インテリジェンスと防御策の定量的評価を繋ぐ架け橋を提供しました。
2. 高品質な学習データ構築手法: BERTScore による厳格な品質評価と、GPT-5 を活用した合成データ拡張、およびハードネガティブマイニングを組み合わせた、ドメイン固有タスク向けの高品質データセット作成プロセスを確立しました。
3. ドメイン特化型ファインチューニングの性能向上: 汎用モデルをサイバーセキュリティドメインのデータでファインチューニングすることで、ベースラインモデルを大幅に上回る性能を達成しました。

4. 実験結果 (Results)

テストセットにおける評価結果は以下の通りです。

• 相関性能:
  • スピアマン順位相関係数 (ρ): 0.7894（ベースラインの all-mpnet-base-v2 は 0.5852）。
  • ピアソン相関係数 (r): 0.8756。
  • ベースラインモデルに対し、スピアマン相関で約 0.21（相対的に約 37%）の改善が見られました。
• 誤差性能:
  • 平均絶対誤差 (MAE): 0.1352（ベースラインは 0.48〜0.56 程度）。
  • 平均二乗誤差 (MSE): 0.0272（ベースラインは 0.24〜0.33 程度）。
  • 提案モデルはベースラインに比べて MAE で約 67% の誤差削減を達成しました。
• 誤差分布:
  • 提案モデルの誤差分布は非常に狭くゼロに集中しており、予測の安定性と一貫性が極めて高いことが示されました。一方、ベースラインモデルは大きな誤差を持つ確率密度が認められました。

5. 意義と応用 (Significance and Applications)

• 意思決定の支援: 自動化されたインシデント分類により、セキュリティチームは迅速に適切な ATT&CK 手法と CIS コントロールを特定できます。
• リソース制約の克服: 中小企業など専門家が限られる組織でも、専門知識がなくても定量的なリスク管理と対策の優先順位付けが可能になります。
• 証拠に基づくセキュリティ管理: 定量的指標を通じて、セキュリティ対策の有効性を客観的に評価・監視でき、投資対効果の証明やコンプライアンス対応を容易にします。
• 将来展望: このフレームワークをホスト型侵入検知システム（HIDS）のプラグインとして実装し、リアルタイムな脅威対応を可能にすること、および NIST SP 800-53 などの他のフレームワークとのマッピング拡張が今後の課題として挙げられています。

本論文は、構造化されていない脅威インテリジェンスと構造化されたセキュリティ対策を、客観的な指標を介して繋ぐ実用的な AI ベースのソリューションを提供し、サイバーリスク管理の運用面における重要な課題を解決するものです。