TTPs（戦術・技術・手順）とは何ですか？

サイバー攻撃者の行動パターンを「戦術（なぜ）」「技術（何を）」「手順（どうやって）」の3階層で整理したもの。攻撃の手口を体系的に理解するためのフレームワークです。

TTPs（戦術・技術・手順）のポイントは？

Tactics（戦術）は攻撃の目的、Techniques（技術）は具体的な手法、Procedures（手順）は実行の詳細手順。MITRE ATT&CKフレームワークがTTPsの代表的なナレッジベース。IoCが攻撃の「痕跡」なのに対し、TTPsは攻撃者の「行動パターン」を示す。TTPsは攻撃者が簡単には変えられないため、長期的な防御戦略の基盤になる

【てぃーてぃーぴーず】

TTPs（戦術・技術・手順）とは？

💡 犯人の「動機・手口・段取り」を丸裸にする、サイバー捜査の三段構え

📌 このページのポイント

Tactics（戦術）は攻撃の目的、Techniques（技術）は具体的な手法、Procedures（手順）は実行の詳細手順
MITRE ATT&CK フレームワークがTTPsの代表的なナレッジベース
IoCが攻撃の「痕跡」なのに対し、TTPsは攻撃者の「行動パターン」を示す
TTPsは攻撃者が簡単には変えられないため、長期的な防御戦略の基盤になる

TTPsの3階層とPain Pyramidのイメージ

ひよこ

TTPsって何の略なの？

ペンギン先生

Tactics（戦術）、Techniques（技術）、Procedures（手順）の頭文字だよ。攻撃者の行動を「なぜやるか」「何を使うか」「どうやるか」の3段階で整理する考え方なんだ。

ひよこ

3つの違いがよく分からないな…具体的に教えて！

ペンギン先生

たとえば泥棒に例えると、Tactics（戦術）は「家に侵入する」という目的。Techniques（技術）は「ピッキングで鍵を開ける」という手法。Procedures（手順）は「深夜2時に裏口から近づき、特定のツールで3分以内に開錠する」という詳細な段取りだよ。

ひよこ

なるほど！サイバー攻撃だとどんな感じになるの？

ペンギン先生

たとえばTacticsが「初期アクセスの獲得」、Techniquesが「フィッシングメール」、Proceduresが「取引先を装ったメールにマクロ付きExcelを添付し、開封するとPowerShellでC2サーバに接続する」みたいな感じだね。MITRE ATT&CKではこういったTTPsが数百パターン整理されているよ。

ひよこ

IoCとは何が違うの？

ペンギン先生

いい質問だね。IoCは攻撃の「痕跡」で、特定のIPアドレスやファイルハッシュのこと。一方TTPsは攻撃者の「行動パターン」そのもの。IoCは攻撃者が簡単に変えられるけど、TTPsは攻撃者のスキルや習慣に根ざしているから変えにくいんだ。

ひよこ

だからTTPsのほうが防御に役立つってこと？

ペンギン先生

そうだね。セキュリティ業界では「Pain Pyramid（痛みのピラミッド）」という概念があって、IoCを潰されても攻撃者はすぐ代替を用意できるけど、TTPsレベルで対策されると攻撃者は手口を根本から変えなきゃいけない。だから「IoCは消耗品、TTPsは資産」と言われるんだよ。脅威ハンティングでもTTPsベースで探索するのが主流になってきているね。

まとめ：ざっくりこれだけ覚えればOK！

「TTPs」って出てきたら「攻撃者の行動パターンを3階層で整理したもの」と思えればだいたいOK！

📖 おまけ：英語の意味

「Tactics, Techniques, and Procedures」＝戦術・技術・手順

💬 もともと軍事用語で、敵の作戦行動を分析するための枠組みがサイバーセキュリティに応用されたものだよ

← 用語集にもどる

TTPs（戦術・技術・手順） とは？

TTPs（戦術・技術・手順）とは？