Diamond Model だいやもんどもでる
簡単に言うとこんな感じ!
サイバー攻撃を「誰が(攻撃者)」「何を使って(能力)」「どこを(インフラ)」「誰を狙ったか(被害者)」の4つの頂点でダイヤモンド型に整理する分析フレームワークだよ!バラバラな攻撃の痕跡をつなぎ合わせて「この攻撃、あの犯人グループの仕業だ!」と特定するのに使うんだ!
Diamond Modelとは
Diamond Model(ダイヤモンドモデル) とは、サイバー攻撃の構造を体系的に分析するためのフレームワークで、2013年にアメリカの情報セキュリティ研究者たちによって提唱されました。攻撃の「事象(イベント)」を4つの要素──攻撃者(Adversary)・能力(Capability)・インフラストラクチャ(Infrastructure)・被害者(Victim)──の頂点で構成されるダイヤモンド型の図形に当てはめることで、攻撃の全体像を可視化します。
このモデルの最大の特徴は、バラバラに収集されたサイバー攻撃の痕跡(ログ、マルウェアサンプル、IPアドレスなど)を「関係性」として結びつけて考える点にあります。単発の不審アクセスとして見ると意味不明な事象も、Diamond Modelで整理すると「同一の攻撃者グループによる継続的なキャンペーン」として浮かび上がってくることがあります。
ビジネスパーソンにとっては、セキュリティベンダーやSIEMツール(セキュリティ情報・イベント管理システム)のレポートでこのフレームワークが使われることが多く、「なぜこの攻撃をこのグループに帰属させるのか」の根拠を理解するうえで重要な概念です。
Diamond Modelの4つの頂点
ダイヤモンドの4頂点は互いに辺(エッジ)で結ばれており、「この能力はこのインフラを使っている」「この攻撃者はこの被害者を狙っている」という関係性を表します。
| 頂点 | 英語 | 意味 | 具体例 |
|---|---|---|---|
| 攻撃者 | Adversary | 攻撃を行う個人・集団・国家 | APTグループ、サイバー犯罪組織、内部犯行者 |
| 能力 | Capability | 攻撃に使うツール・手法・マルウェア | ゼロデイ脆弱性、ランサムウェア、フィッシングキット |
| インフラ | Infrastructure | 攻撃に使うネットワーク基盤 | C2サーバー、踏み台ホスト、ドメイン名 |
| 被害者 | Victim | 攻撃を受けた組織・人・システム | 標的企業、特定の部署、特定のシステム |
攻撃者(Adversary)
/ \
/ 社会的 \
/ メタ特徴 \
/ \
能力(Capability) ── インフラ(Infrastructure)
\ /
\ 技術的 /
\ メタ特徴/
\ /
被害者(Victim)ダイヤモンドの2つの軸
ダイヤモンドには2本の軸が通っています。
- 社会政治軸(攻撃者 ↔ 被害者):「誰が誰を狙うか」という動機・意図の次元
- 技術軸(能力 ↔ インフラ):「何をどう使って攻撃するか」という手段・技術の次元
この2軸で考えることで、「技術的には異なるツールを使っているが、同じ攻撃者が同じ被害者を狙い続けている」といったキャンペーンの連続性を見抜けます。
メタ特徴(Meta-Features):4頂点を補足する情報
Diamond Modelには4頂点に加えて、分析をより豊かにするメタ特徴があります。
| メタ特徴 | 内容 |
|---|---|
| タイムスタンプ | 攻撃が発生した日時 |
| フェーズ | Kill Chainのどの段階か |
| 結果 | 攻撃が成功したか否か |
| 方向性 | 内部→外部 / 外部→内部など |
| 手法論 | MITRE ATT&CKのTTPとの対応 |
| リソース | 攻撃者が持つ資金・人員・時間 |
歴史と背景
- 2013年 — セルジオ・カルタジローネ、アンドリュー・マクファデン、クリストファー・ボノら米国防総省系研究者がホワイトペーパー「The Diamond Model of Intrusion Analysis」を発表
- 背景 — APT(高度持続的脅威)攻撃が頻発し、従来の「シグネチャベース(既知のパターン検出)」では不十分と認識されてきた時代に登場
- 2014〜2015年 — 政府機関・大手セキュリティベンダーが採用し始め、脅威インテリジェンスの標準的な分析手法として普及
- 2015年以降 — MITRE ATT&CKフレームワークやCyber Kill Chainと組み合わせて使われる運用スタイルが定着
- 現在 — ISACやCERT(コンピューター緊急対応チーム)など、公的機関の脅威共有レポートでも広く使用される
他のフレームワークとの比較・連携
Diamond Modelは単独で使うこともありますが、Cyber Kill Chain や MITRE ATT&CK と組み合わせることで真価を発揮します。
| フレームワーク | 主な視点 | 得意なこと |
|---|---|---|
| Diamond Model | 攻撃の関係構造 | 「誰が誰を何で狙ったか」の関係性分析・帰属特定 |
| Cyber Kill Chain | 攻撃のフェーズ | 攻撃の進行段階を7ステップで追う |
| MITRE ATT&CK | 攻撃の戦術・技術 | 具体的な攻撃手法(TTP)のカタログ照合 |
Activityスレッドとキャンペーン分析
Diamond Modelでは、個々の「イベント(1回の攻撃事象)」を**スレッド(糸)のようにつなぐことでキャンペーン(攻撃群)**を構成します。
イベント1: 攻撃者A → マルウェアX → C2サーバーα → 企業B
イベント2: 攻撃者A → マルウェアY → C2サーバーβ → 企業B
イベント3: 攻撃者A → マルウェアX → C2サーバーβ → 企業C
↓
共通の「攻撃者A」でつながる → 同一キャンペーンと判定
「企業B・Cは同じグループに狙われている」と気づける関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| STIX 2.1(OASIS標準) | Diamond Modelの概念をデータ形式として表現するサイバー脅威インテリジェンス共有規格 |
| TAXII 2.1(OASIS標準) | STIXデータを組織間でやり取りするためのAPIプロトコル |
関連用語
- MITRE ATT&CK — 攻撃者のTTP(戦術・技術・手順)を体系化したナレッジベース
- Cyber Kill Chain — 攻撃を7フェーズに分けたロッキード・マーティン発のフレームワーク
- APT(Advanced Persistent Threat) — 国家支援型などの高度で執拗なサイバー攻撃グループ
- 脅威インテリジェンス — 攻撃者・攻撃手法に関する情報を収集・分析・共有する活動
- IOC(Indicator of Compromise) — 侵害の痕跡となるIPアドレス・ハッシュ値などの指標
- SIEM — セキュリティイベントのログを一元収集・分析するシステム
- STIX/TAXII — 脅威インテリジェンスの標準的なデータ形式と共有プロトコル
- インシデントレスポンス — セキュリティ事故発生時の対応手順・体制