【ダイアモンドモデル】
ダイアモンドモデル とは?
💡 サイバー攻撃を4点で固定する「ひし形の分析枠」
📌 このページのポイント
- 攻撃者(Adversary)・能力(Capability)・インフラ(Infrastructure)・被害者(Victim)の4要素で攻撃を表現する
- 4要素の関係性を図にするとダイヤモンド型になることが名前の由来
- 同じ攻撃者グループが複数の事件に関わっているかを体系的につなぎ合わせられる
- MITRE ATT&CKなどと組み合わせてスレットインテリジェンス分析に活用される
ひよこ ダイアモンドモデルって、セキュリティのどんな場面で使うものなの?
ペンギン先生 サイバー攻撃を受けたとき「誰が・何を使って・どこ経由で・誰を攻撃したか」を整理するためのフレームワークだよ。脅威インテリジェンスのアナリストが攻撃を構造的に分析するときによく使うんだ。
ひよこ 4つの要素って具体的にどんなものなの?
ペンギン先生 「攻撃者(Adversary)」「能力(Capability)」「インフラ(Infrastructure)」「被害者(Victim)」の4つだよ。攻撃者がCapabilityを使い、InfrastructureでVictimに接続する、という関係性をひし形のグラフで表すんだ。
ひよこ ひし形になるのはなんでなの?
ペンギン先生 攻撃者と被害者を左右の頂点に、能力とインフラを上下の頂点に置くと自然にひし形になるんだ。攻撃者↔能力、能力↔被害者、攻撃者↔インフラ、インフラ↔被害者という4本の辺で結ばれているよ。
ひよこ キルチェーンとはどう違うの?
ペンギン先生 キルチェーンは攻撃の「ステップの流れ」を時系列で追うモデルだよ。ダイアモンドモデルは1つの攻撃イベントの「構成要素の関係」を整理する横断的な視点で、複数のイベントを点と線でつなぐのが得意なんだ。
ひよこ 複数の事件をつなぐってどういうことなの?
まとめ:ざっくりこれだけ覚えればOK!
「ダイアモンドモデル」って出てきたら「攻撃を4要素で図解するフレームワーク」と思えればだいたいOK!
📖 おまけ:英語の意味
「Diamond Model of Intrusion Analysis」 = 侵入分析のダイアモンドモデル
💬 4要素を結ぶと菱形(ダイヤモンド形)になるグラフが特徴的で、そのままモデルの名前になったよ。2013年にSergio Caltagirone氏らが論文で提唱したんだ。