用語集 › 🔒 セキュリティ › TTPs(戦術・技術・手順)
【てぃーてぃーぴーず】

TTPs(戦術・技術・手順) とは?

公開:
💡 犯人の「動機・手口・段取り」を丸裸にする、サイバー捜査の三段構え
📌 このページのポイント
TTPs の3階層と Pain Pyramid TTPs の3階層 Tactics 戦術 なぜ?(目的) 例: 初期アクセスの獲得 Techniques 技術 何を?(手法) 例: フィッシングメール Procedures 手順 どうやって?(詳細) 例: マクロ付きExcel添付 Pain Pyramid ハッシュ値(簡単に変更可) IPアドレス・ドメイン 攻撃ツール TTPs 変更困難 = 防御効果大 痛い 簡単 IoCは下層(変更容易)、TTPsは頂点(変更困難)→ TTPsベースの防御が効果的
TTPsの3階層とPain Pyramidのイメージ
ひよこ ひよこ
TTPsって何の略なの?
ペンギン先生 ペンギン先生
Tactics(戦術)、Techniques(技術)、Procedures(手順)の頭文字だよ。攻撃者の行動を「なぜやるか」「何を使うか」「どうやるか」の3段階で整理する考え方なんだ。
ひよこ ひよこ
3つの違いがよく分からないな…具体的に教えて!
ペンギン先生 ペンギン先生
たとえば泥棒に例えると、Tactics(戦術)は「家に侵入する」という目的。Techniques(技術)は「ピッキングで鍵を開ける」という手法。Procedures(手順)は「深夜2時に裏口から近づき、特定のツールで3分以内に開錠する」という詳細な段取りだよ。
ひよこ ひよこ
なるほど!サイバー攻撃だとどんな感じになるの?
ペンギン先生 ペンギン先生
たとえばTacticsが「初期アクセスの獲得」、Techniquesが「フィッシングメール」、Proceduresが「取引先を装ったメールにマクロ付きExcelを添付し、開封するとPowerShellC2サーバに接続する」みたいな感じだね。MITRE ATT&CKではこういったTTPsが数百パターン整理されているよ。
ひよこ ひよこ
IoCとは何が違うの?
ペンギン先生 ペンギン先生
いい質問だね。IoCは攻撃の「痕跡」で、特定のIPアドレスやファイルハッシュのこと。一方TTPsは攻撃者の「行動パターン」そのもの。IoCは攻撃者が簡単に変えられるけど、TTPsは攻撃者のスキルや習慣に根ざしているから変えにくいんだ。
ひよこ ひよこ
だからTTPsのほうが防御に役立つってこと?
ペンギン先生 ペンギン先生
そうだね。セキュリティ業界では「Pain Pyramid(痛みのピラミッド)」という概念があって、IoCを潰されても攻撃者はすぐ代替を用意できるけど、TTPsレベルで対策されると攻撃者は手口を根本から変えなきゃいけない。だから「IoCは消耗品、TTPsは資産」と言われるんだよ。脅威ハンティングでもTTPsベースで探索するのが主流になってきているね。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「TTPs」って出てきたら「攻撃者の行動パターンを3階層で整理したもの」と思えればだいたいOK!
📖 おまけ:英語の意味
「Tactics, Techniques, and Procedures」 = 戦術・技術・手順
💬 もともと軍事用語で、敵の作戦行動を分析するための枠組みがサイバーセキュリティに応用されたものだよ
🔗 あわせて読みたい
📝 この用語に関連するコラム
← 用語集にもどる