侵入分析のダイヤモンド・モデル：構造化された脅威インテリジェンスの実践ガイド

主な洞察

ダイヤモンド・モデルは、あらゆる侵入を「攻撃者」「能力」「インフラ」「被害者」という4つの相互に関連する要素として捉え、線形フレームワークでは見落とされがちな関係性に基づく分析を可能にします。
7つの形式的な公理と拡張されたメタ機能によって、このモデルは理論的な深みを帯びているが、多くのガイドではこれらを完全に省略しているため、実務者は不完全な理解にとどまってしまっている。
ダイヤモンド・モデルとサイバーキルチェーンを組み合わせ、 MITRE ATT&CK を組み合わせることで、単一のワークフロー内で関係性、時間的、および振る舞いが可能になります。
2025年版のCisco Talos拡張ダイヤモンドモデルでは、RaaS（Ransomware-as-a-Service）の引き継ぎのような、複数のアクターが関与するキャンペーンに対応するため、5つ目の「リレーションシップ・レイヤー」が追加されました。
6段階の「ピボット・アンド・ポピュレート」ワークフローにより、単一の侵害の兆候（IoC）を包括的な脅威状況へと変換します。

あらゆる侵入には物語があります。そこには登場人物、ツール、準備拠点、そして標的が存在します。セキュリティチームにとっての課題は、その物語を迅速に読み解き、即座に対応することです。侵入分析の「ダイヤモンドモデル」は、アナリストがまさにそれを実現するための体系的な用語体系を提供します。2013年に国防技術情報センター（DTIC）を通じて研究論文として初めて発表されたこのフレームワークは、サイバーセキュリティ教育の基盤となり、CompTIA Security+ (SY0-701)、CySA+ (CS0-003)、EC-Council CEHなどの認定資格の定番となっています。本ガイドでは、このモデルの4つの主要構成要素、そのより深い理論的基盤、そして実務者が実際のインシデントにどのように適用しているかについて解説します。競合他社がカバーしていない拡張機能についても含めて説明します。

侵入分析におけるダイヤモンド・モデルとは何ですか？

侵入分析の「ダイヤモンド・モデル」は、あらゆるサイバー侵入事象を、相互に関連する4つの要素――攻撃者、能力、インフラ、被害者――として記述する形式的な枠組みである。これらはダイヤモンドの形に配置され、構造化された関係性に基づく脅威インテリジェンス分析を可能にする。このモデルは、セルジオ・カルタジローネ、アンドルー・ペンダーガスト、クリストファー・ベッツによって、2013年の原著論文（PDF）で提唱された。

その基本的な考え方は単純明快です。ダイヤモンド・モデルでは、侵入を単発の警報として扱うのではなく、アナリストに対し、あらゆる事象について4つの質問を投げかけることを義務付けています。攻撃者は誰か？どのような能力を用いたか？その作戦を支えたインフラは何か？そして、被害者は誰か、あるいは何なのか？分析の真価は、これら4つの要素そのものだけでなく、それら相互の関係性にあるのです。

この関係性に基づくアプローチこそが、ダイヤモンド・モデルをサイバーキルチェーンのような順次的なフレームワークとは一線を画すものです。キルチェーンが攻撃の各フェーズを時系列で記述するのに対し、ダイヤモンド・モデルは各フェーズ内のつながりの網を捉えます。どちらの視点も重要であるため、成熟したセキュリティチームの多くはこれらを組み合わせて活用しています。

ダイヤモンド・モデルは、CompTIA CySA+認定試験の対策教材やSecurity+のカリキュラムにも取り上げられており、キャリアのどの段階にあるアナリストにとっても不可欠な知識となっています。

ダイヤモンド・モデルの4つの主要要素

ダイヤモンド・モデルの各イベントは、ダイヤモンドの各頂点を占める4つの特徴を中心に展開されます。

攻撃者。侵入の責任を負う脅威アクターまたはグループ。これには、特定のAPTグループから、振る舞いによってのみ特定される未知のアクターまでが含まれる。多くの場合、攻撃者のノードは最初は空の状態であり、分析を通じて情報が追加されていく。
機能。ツール、手法、およびマルウェア攻撃者が使用するマルウェア。これには、エクスプロイトコード、カスタムバックドア、LOTL（Living-off-the-Land）バイナリ、およびソーシャルエンジニアリングの手法が含まれます。能力は、MITRE ATT&CK 直接対応しています。
インフラストラクチャ。機能を提供したり、指揮統制を維持したりする物理的または論理的なリソース。これには、C2サーバー、ドメイン名、メールアドレス、侵害されたウェブサイト、およびクラウドサービスが含まれます。インフラストラクチャは、多くの場合、最も目につきやすい要素であり、攻撃の展開（ピボッティング）を行う上で最適な出発点となります。
被害者。侵入の標的となるもの――組織、特定のシステム、個人、あるいはデータセットなど。被害者のプロファイリングを行うことで、アナリストは標的となるパターンを把握し、将来の攻撃を予測することができる。

特徴間の関係とエッジの理解

これら4つの要素は6つのエッジによって結びついており、こうした関係性こそが、ダイヤモンド・モデルの分析力を支えている。攻撃者-インフラストラクチャ間のエッジは、攻撃者がどのリソースを制御しているかを明らかにする。能力-被害者間のエッジは、特定のツールが特定の標的にどのような影響を与えるかを示す。インフラストラクチャ-被害者間のエッジは、攻撃の伝達経路を明らかにする。

各エッジは双方向性を持っており、アナリストは既知の要素から任意の方向へ展開し、未知の要素を発見することができます。インフラストラクチャ（C2ドメインなど）が判明している場合、インフラストラクチャと攻撃者の間のエッジをたどって運営者を特定したり、インフラストラクチャと機能の間のエッジをたどって、それと通信しているツールを特定したりすることができます。この展開手法により、孤立した侵害の兆候が、相互に関連付けられたインテリジェンスへと変換されます。

図：ダイヤモンド・モデルの4つの要素（攻撃者、能力、インフラ、被害者）が6本の双方向エッジで結ばれており、これが構造化侵入分析の基礎を成している。

高度な概念：公理、メタ特徴、およびアクティビティのスレッド化

入門ガイドの多くは、これら4つの特徴で説明を終えています。ダイヤモンド・モデルのより深い理論的基盤――公理、メタ特徴、アクティビティ・スレッディング――こそが、これを単なる図表ではなく、厳密な分析フレームワークたらしめているのです。

ダイヤモンド・モデルの7つの公理

原論文では、モデルの動作を規定する7つの形式的な公理が定められている。

公理 1（イベント公理）。あらゆる侵入イベントにおいて、攻撃者は、インフラストラクチャ上の機能を利用して被害者に対して攻撃を行い、その結果を生み出すことで、意図した目標に向けて一歩前進する。
公理2（順序）。すべての侵入イベントは順序付けられたシーケンスの中に存在し、攻撃者は後のステップを行う前に、それより前のステップを実行しなければならない。
公理3（方向性）。あらゆる能力およびインフラ要素には、被害者に向かう方向（攻撃）か、敵対者から向かう方向（支援）のいずれかの方向性がある。
公理4（完全性）。完全に記述された侵入事象は、これら4つの特徴すべてを満たすが、アナリストは特定の時点ではその一部しか把握していない場合がある。
公理5（攻撃者グループ）。攻撃者とは、それぞれが異なる身元で活動している可能性のある、複数の攻撃者ペルソナからなる集合である。
公理6（能力の完全性）。あらゆる攻撃者は有限の能力セットを有しており、それぞれの能力には特定のインフラが必要とされる。
公理7（インフラの再利用）。インフラは、侵入事象間で共有、再利用、または転用され、相関分析の機会を生み出す。

公理7は、実務者にとって特に重要です。インフラの再利用は、一見無関係に見える事象を、同じ攻撃者やキャンペーンに結びつける上で、最も信頼性の高い手法の一つです。

メタ的特徴：社会政治的軸と技術的軸

4つの主要な特徴に加え、ダイヤモンド・モデルは文脈的な深みを加えるメタ特徴を定義している。

社会政治的軸は、攻撃者と被害者の関係を捉え、国家によるスパイ活動、金銭目的の犯罪、あるいはハクティビズムといった動機を説明するものである。この軸は、高度な持続的脅威（APT）がなぜ特定の組織を標的とするのかを理解する上で、アナリストの助けとなる。

「テクノロジー軸」は、機能とインフラストラクチャを結びつけ、技術的なツールが、プロトコル種別、暗号化方式、通信チャネルといった支援リソースとどのように相互作用するかを示しています。

その他のメタ情報には、タイムスタンプ、フェーズ（キルチェーンの各段階への対応）、結果（成功または失敗）、方向、手法、およびリソースが含まれます。これらを組み合わせることで、各ダイヤモンドイベントは詳細な分析記録となります。

表：ダイヤモンド・モデルのメタ特徴は、文脈的な側面を加えて中核的な分析を拡張する。

メタ機能	定義	例	分析的価値
タイムスタンプ	その出来事が起きたとき	2026年1月15日 03:42:00Z	時間的なパターンと運用ペースを確立する
フェーズ	イベントのキルチェーン段階	横方向の動き	Diamond Modelを逐次解析に接続する
結果	イベントの結果	認証情報が盗み出された	目標に向けた敵の進捗状況を追跡する
方向	敵対者から被害者へ、あるいは被害者から敵対者へ	受信C2ビーコン	検知に関するコミュニケーションの流れを明確にする
方法論	活動分野	スピアフィッシング	クラスタリングのためにイベントを手法別にグループ化する
リソース	実行に必要なリソース	ゼロデイ攻撃、VPNアクセス	敵対勢力の投資額と高度化の度合いを評価する

アクティビティのスレッド化とアクティビティグループ

個々のダイヤモンド・イベントが単独で発生することはめったにありません。アクティビティ・スレッディングは、キルチェーンの各フェーズを用いて関連するイベントを時系列で結びつけ、一貫性のあるストーリーとして整理します。1つのスレッドは、初期アクセスから横方向の移動、そしてデータの持ち出しに至るまでの経緯を追跡することができ、各ステップは独自のダイヤモンド・イベントとして表現され、共通の特徴によって結びつけられます。

アクティビティ・グループでは、攻撃者、能力、またはインフラストラクチャの特徴を共有する複数のアクティビティ・スレッドをクラスタリングすることで、この分析をさらに深めます。複数のスレッドが同じC2インフラストラクチャを指し示していたり、同じカスタムバックドアを使用していたりする場合、アナリストはそれらを単一の攻撃者に帰属するキャンペーンとしてグループ化できます。これにより、ダイヤモンド・モデルは単一の事象の分析から、キャンペーンレベルのインテリジェンスへと拡張されます。

フレームワークの比較：ダイヤモンド・モデル vs サイバー・キル・チェーン vsMITRE ATT&CK

ダイヤモンド・モデルは、他のフレームワークに取って代わるものではありません。それらを補完するものです。各フレームワークがどのような点で優れているかを理解することで、アナリストは目の前の課題に適した視点を選ぶことができるようになります。

表：3つの主要な脅威インテリジェンス・フレームワークの比較

フレームワーク	フォーカス	強さ	最適
ダイヤモンドモデル	関係性（誰、何、どこ、誰に対して）	機能をつなぎ、未知の要素の間を行き来する	帰属分析、キャンペーンのマッピング、脅威アクターのプロファイリング
サイバーキルチェーン	時間的（順序的段階）	攻撃の進行状況と防御の隙を特定する	インシデントの経緯の再構築、防御上の脆弱性の分析
MITRE ATT&CK	振る舞い具体的なTTP）	検出ガイダンス付き詳細な技術カタログ化	検知技術、脅威に基づく防御、レッドチーム活動

MITRE ATT&CK 、216の手法、475のサブ手法、172の追跡対象グループが含まれており、最も詳細なフレームワークとなっています。しかし、詳細さだけでは関係性は明らかになりません。ダイヤモンドモデルの「攻撃者」要素はATT&CKのグループに対応し、「能力」要素はATT&CKの手法に対応しているため、自然な統合ポイントが生み出されています。

3つのフレームワークをすべて併用する

例えば、スピアフィッシングある金融機関を標的としたキャンペーン。その キルチェーン フェーズを順に並べます：偵察、兵器化、運搬、悪用、設置、指揮統制、標的に対する行動。 ダイヤモンドモデル 各フェーズ内の関係構造を明らかにする：攻撃主体（国家主体のグループ）、攻撃手段（カスタムローダー）、インフラ（侵害されたWordPressサイト）、および被害者（銀行の財務部門）。 ATT&CK 以下の機能を提供します詳細な技術ID - T1566.001 スピアフィッシングフィッシング添付ファイル、 T1059.001 PowerShellの実行については、 T1071.001 WebプロトコルC2用。

これら3つのフレームワークを組み合わせることで、アナリストは「何が起きたか（ATT&CK）」、「どのような順序で起きたか（キルチェーン）」、「誰が何とつながっていたか（ダイヤモンドモデル）」という全体像を把握することができる。

ある事案へのダイヤモンド・モデルの適用

ダイヤモンド・モデルの真価は、体系的なインシデント分析において発揮されます。ここでは、単一の指標から包括的な脅威の全体像を導き出す、6つのステップからなるワークフローをご紹介します。

侵入イベントを特定します。まず、確認済みのアラート（不審なドメイン、マルウェアハッシュ、あるいは異常なログインなど。これが最初の指標となります。
既知の特徴を入力してください。知っている情報をダイヤモンドの中に記入してください。A マルウェアハッシュ値は機能の頂点を埋めます。C2ドメインはインフラストラクチャを埋めます。影響を受けたシステムに基づいて被害者を割り当てます。
エッジを軸に分析を進めます。既知の情報を活用して未知の情報を特定します。脅威インテリジェンスプラットフォームを照会し、同じIPアドレス上でホストされている他のドメインを特定します（インフラ間分析）。また、同じC2に接続する他のサンプルを検索します（機能とインフラの関連性）。こここそが、ダイヤモンド・モデルの真価が発揮される場面です。
メタ情報を追加する。タイムスタンプを記録し、キルチェーンのフェーズを特定し、結果（成功または失敗）を記載し、判明している場合は社会政治的な動機を評価する。
関連する出来事を結びつける。共通する特徴を持つ前後の出来事と、この重要な出来事を結びつけ、時系列に沿った物語を構築する。
グループ活動スレッド。複数のスレッドが攻撃者のシグネチャ、インフラ、または固有の機能を共有している場合は、それらを活動グループにまとめます。これが、新たなキャンペーンの帰属分析となります。

ダイヤモンド・モデルの分析ワークフロー（ステップバイステップ） — *図：ダイヤモンド・モデルの分析ワークフロー（手順別）*

特徴量探索のためのピボット手法

ピボットは、ダイヤモンドモデルの分析エンジンです。最も強力な指標から始めて、エッジを体系的にたどります。ドメイン（インフラストラクチャ）がある場合は、パッシブDNSでIP履歴を確認し、次にそれらのIPアドレスで他のドメインを確認します。ドメインを脅威ハンティングフィードと相互参照します。各ピボットによって新しい特徴量が生成され、多くの場合、スレッド化のための追加イベントが明らかになります。

重要な規律は文書化です。分析を再現可能にし、インシデント対応中に他のアナリストと共有できるように、すべてのピボットを記録しておく必要があります。

実践におけるダイヤモンド・モデル

事例研究：ToyMakerおよびCactusランサムウェア（2025年）

Cisco TalosによるToyMakerの初期アクセスブローカーの分析では、基本的なダイヤモンドモデルとその拡張版であるリレーションシップ・レイヤーの両方が示されています。

攻撃者：ToyMaker（初期アクセスブローカー、金銭目的）およびCactus（ランサムウェア運営者）
機能：LAGTOYバックドア、認証情報収集ツール、二重身代金要求型ランサムウェア
インフラ：インターネットに公開されているシステムへの侵害、専用のC2インフラ
被害対象：一般公開されているアプリケーションに脆弱性がある組織
関係レイヤー：「ToyMakerからCactusへの引き継ぎ」は、初回アクセスから約1か月後に行われる

この事例は、従来の4つの機能モデルを拡張する必要があった理由を典型的に示しています。ToyMakerとCactusはそれぞれ異なる機能を持つ別々の攻撃者ですが、両者間の引き継ぎ、つまり関係性が、このキャンペーンを危険なものにしています。Cisco Talos拡張ダイヤモンドモデル手法は、この5番目の関係レイヤーを追加することで、サービスとしてのランサムウェアのダイナミクスを捉えます。

事例研究：SolarWindsのサプライチェーン攻撃

SolarWindsの情報漏洩は、最も引用されているダイヤモンドモデルのケーススタディの1つであり、ResearchGateに掲載された査読済みの論文で分析されています。

攻撃主体：ロシアのSVR（APT29／Cozy Bear）
機能：SolarWinds OrionのアップデートにSUNBURSTバックドアが埋め込まれている
インフラ：侵害されたソフトウェアのサプライチェーン経由での配布、専用のC2ドメイン
被害者：米国政府機関を含む200以上の組織

ダイヤモンドモデルの関連性に基づくアプローチは、複数の被害者カテゴリーと複雑なサプライチェーンが存在するこのケースにおいて、直線的なキルチェーンよりも適していることが証明された。なぜなら、順序ではなく、関連性をマッピングする必要があったからである。

表：実世界の侵入事例に適用したダイヤモンドモデル。

事例	敵	能力	インフラ	被害者
トイメーカー／カクタス (2025)	ToyMaker IAB + Cactus RaaS	LAGTOYバックドア、二重恐喝	侵害された対外向けアプリケーション、C2サーバー	インターネットに公開されているシステムに脆弱性がある組織
SolarWinds（2020年）	APT29（ロシアのSVR）	SUNBURSTバックドア	侵害されたOrionの更新プログラムのサプライチェーン	米国政府を含む200以上の組織

IBM X-Force 2026脅威インテリジェンスインデックスによると、2025年にはランサムウェアの活動グループが49%急増し（2024年の73グループから109グループに増加）、2026年初頭には毎月54～58グループが活動していると予測されています。このようなエコシステムの断片化により、増殖するグループを識別し追跡するには、ダイヤモンドモデルの活動スレッド分析が不可欠となります。

ダイヤモンド・モデルの実装用ツールおよびソフトウェア

複数のプラットフォームがDiamond Modelワークフローをサポートしています。Diamond Modelの共同開発者であるAndy Pendergast氏が共同設立したThreatConnectは、このフレームワークをネイティブに組み込んでいます。MISPとOpenCTIは、エンティティ関係モデリングに対応したオープンソースの代替ソリューションを提供しています。小規模チームでは、カスタムスプレッドシートや図表テンプレートが依然として広く利用されています。STIX/TAXII標準との統合により、Diamond Model構造を用いた脅威インテリジェンスの自動共有が可能になります。

ダイヤモンド・モデルの利点と限界

表：脅威インテリジェンスチームにおけるダイヤモンドモデルの強みと限界。

メリット	制限事項
構造化された関係分析により、体系的なピボット分析が可能になる	4つの特徴量による簡略化では、複雑な侵入攻撃の微妙なニュアンスを見逃してしまう可能性がある
ベンダーに依存せず、他のフレームワークと互換性がある	特に偽旗作戦に関しては、犯行の特定が依然として困難である
アクティビティのスレッド化は、イベントからキャンペーンまで幅広く対応する	高度なデータ収集・分析能力が必要
部分的な分析に対応（不完全なダイヤモンドでも価値がある）	スレッド拡張機能を使用しない、イベントごとの静的スナップショット
共通の語彙はチームのコミュニケーションを円滑にする	自動化が導入されていない小規模なチームにとっては、リソースを多く消費する

ダイヤモンドモデルのシンプルさが強みなのか弱みなのかについては、情報源によって意見が分かれています。ThreatConnectは、ダイヤモンドモデルが迅速な分析を可能にすると考えています。一方、侵入を過度に単純化していると主張する人もいます。実務家のコンセンサスは、ダイヤモンドモデルとMITRE ATT&CKを組み合わせてTTPの詳細度を高めることでこの問題を解決します。これにより、関係性の明確さを維持しながら、きめ細かな行動の詳細を追加できます。この組み合わせたアプローチにより、SOC全体の脅威検出ワークフローが強化されます。

今後の動向と新たな考察

ダイヤモンドモデルは固定的なものではありません。今後12～24ヶ月の間に起こるいくつかの変化によって、組織がこのモデルをどのように適用するかが形作られていくでしょう。

最も重要な進化は、2025年5月に公開されたCisco Talos Relationship Layerです。「購入元」「引き渡し元」「漏洩元」といった関係タイプを追加することで、この拡張機能は、複数の攻撃者が単一のキャンペーンで協力する、サービスとしてのランサムウェアのエコシステムの複雑化に対応します。マルチアクター作戦が常態化するにつれ、他の脅威インテリジェンスベンダーも同様の拡張機能を採用すると予想されます。

AI を活用した脅威インテリジェンス は、ダイヤモンドモデルのワークフローを加速させています。大規模なデータセット全体にわたるエンティティの相関、ピボット、アクティビティのスレッド化を自動化することで、アナリストの手作業による負担が軽減されます。CyberProof 2026 グローバル脅威インテリジェンスレポートによると、ランサムウェア攻撃の 80% に AI が統合されているため、防御側は対応するために AI 支援分析ツールを必要としています。

Picus Red Report 2026で指摘された「サイレント・レジデンシー」の傾向（ランサムウェアによる暗号化が38%減少する一方で、回避技術が80%急増している）は、関係性に基づくピボットの重要性を高めています。攻撃者が即時の妨害よりも長期的なステルス性を最適化する場合、ダイヤモンドモデルの能力とインフラストラクチャの相関関係が検出に不可欠となります。

プラットフォームの統合も導入を促進しています。Recorded Futureによると、セキュリティ専門家の81%が2026年までに脅威インテリジェンスベンダーを統合する予定です。ダイヤモンドモデルのような構造化されたフレームワークは、統合されたプラットフォーム全体で共通の分析用語を提供し、統合をより効果的にします。

組織は、MITRE ATT&CK と並行して Diamond Model トレーニングへの投資、関係脅威分析をサポートするプラットフォームの採用、および標準的な SOC 運用プレイブックへのアクティビティスレッドの組み込みを優先すべきです。

脅威インテリジェンス分析における現代的なアプローチ

脅威インテリジェンスは、静的なIOCフィードをはるかに超えて進化しました。今日の専門家は、構造化されたフレームワークと行動分析、AI駆動型検出、自動相関分析を組み合わせることで、インフラストラクチャを共有し、組織の境界を越えて連携する攻撃者に対抗しています。

ダイヤモンドモデルは、その関係性に基づくアプローチが、現代の攻撃が実際にどのように機能するか（攻撃者、ツール、インフラストラクチャ、ターゲット間のつながりを通じて）を反映しているため、依然として基礎的なモデルとなっています。ネットワーク検出および対応プラットフォームがハイブリッド環境全体で攻撃者の行動を観察する際、ダイヤモンドモデルが体系化した関係性の原則こそが、真の脅威とノイズを区別するものです。

Vectra AIは構造化脅威分析をどのように捉えているか

Vectra AIのAttack Signal Intelligenceアプローチは、関係性に基づいた振る舞い主導型分析というダイヤモンドモデルの理念に合致しています。クラウド、ID管理、SaaS、オンプレミス環境など、現代のネットワーク全体にわたる攻撃者の行動を相関させることで、Vectra AIはダイヤモンドモデルが体系化した関係性に基づく原則を実践的に活用します。攻撃者の行動、能力、インフラストラクチャを結びつけることで、最も必要とするアナリストにノイズではなく、重要なシグナルを提供します。

結論

侵入分析のダイヤモンドモデルは、構造化された関係性重視のアプローチでサイバー侵入を理解するためのものであり、シーケンシャルおよび行動分析のフレームワークを補完します。その4つのコア機能、7つの公理、およびアクティビティスレッド機能により、認定試験受験者から上級脅威インテリジェンス担当者まで、あらゆるレベルのアナリストが、個々の指標を相互に関連するインテリジェンスへと変換するための厳密な方法論を利用できます。

ランサムウェアのエコシステムが数十もの連携グループに分裂し、攻撃者が破壊よりも隠密性を優先するなど、脅威の状況がますます複雑化するにつれ、ダイヤモンドモデルの関係分析の価値は低下するどころか、ますます高まっています。2025年のCisco Talos関係レイヤー拡張機能は、このフレームワークが脅威の状況に合わせて進化し続けていることを証明しています。

まず、次のインシデントに6ステップのワークフローを適用してみましょう。既知の情報を入力し、周辺領域をたどり、関係性に基づいて未知の情報を探ります。これらの原則を大規模に運用したいと考えている組織は、Vectra AIのプラットフォームがAttack Signal Intelligenceを通じてどのように同様の関係性に基づく振る舞い主導型分析を提供するかをご覧ください。

よくある質問 (FAQ)

侵入分析におけるダイヤモンド・モデルとは何ですか？

ダイヤモンドモデルは、2013年にセルジオ・カルタジローネ、アンドリュー・ペンダーガスト、クリストファー・ベッツによって作成されたサイバーセキュリティフレームワークです。このモデルは、侵入イベントを、ダイヤモンド型に配置された相互接続された4つの要素（攻撃者、能力、インフラストラクチャ、被害者）としてモデル化します。このモデルは、これらの要素が6つの双方向エッジを介してどのように接続されているかに焦点を当てることで、構造化された関係主導型の脅威分析を可能にします。シーケンシャルフレームワークとは異なり、ダイヤモンドモデルは侵入の関係構造を捉え、アナリストが既知の指標から未知の要素を発見できるようにします。このモデルは国防技術情報センター（DTI）を通じて公開されており、サイバーセキュリティ教育において最も広く教えられているフレームワークの1つです。

ダイヤモンド・モデルの4つの構成要素は何ですか？

4つの構成要素は、攻撃者（脅威アクターまたはグループ）、能力（使用されるツール、技術、マルウェア）、インフラストラクチャ（作戦を支援するC2サーバー、ドメイン、電子メールアドレスなどのリソース）、および被害者（標的となる組織、システム、人物、またはデータセット）です。これらの要素は、分析のピボットを可能にする6つのエッジを介して接続されています。たとえば、C2ドメイン（インフラストラクチャ）を知ることで、アナリストは、どのマルウェアがそれと通信しているか（能力）、そして誰がそれを操作しているか（攻撃者）を特定できます。4つの要素は、あらゆる侵入イベントを説明するために最低限必要なものですが、メタ要素によって文脈的な深みが加わります。

ダイヤモンド・モデルはサイバーキルチェーンとどのように異なるのでしょうか？

サイバーキルチェーンは、偵察から目標への攻撃に至るまでの攻撃の段階を時系列で記述し、時間軸に沿った視点を提供します。ダイヤモンドモデルは、各段階における攻撃者、その能力、インフラ、および標的間の関係性をマッピングします。キルチェーンが「何がどのような順序で起こったか」を答えるのに対し、ダイヤモンドモデルは「誰が何にどのように接続したか」を答えます。これらは相互補完的なフレームワークです。ダイヤモンドモデルにおけるアクティビティスレッドは、キルチェーンの段階を利用して個々のダイヤモンドイベントを時系列順に並べ、両者の間に自然な統合ポイントを作り出します。

ダイヤモンド・モデルとMITRE ATT&CKの違いは何ですか？

MITRE ATT&CKは、攻撃者の具体的な戦術、技術、手順を、詳細な行動データとともにカタログ化しています。ダイヤモンドモデルは、侵入の関連構造をより高いレベルでマッピングします。ATT&CKの技術はダイヤモンドモデルの能力機能に直接対応し、ATT&CKの脅威グループは攻撃者機能に対応します。ほとんどの実務者は両方を併用します。ダイヤモンドモデルは関連構造の枠組みを提供し、ATT&CKは行動の詳細を補完します。例えば、ダイヤモンドモデルの分析で攻撃者がPowerShellベースのツールを使用したことが判明した場合、ATT&CKはそれを具体的な技術に絞り込みます。 T1059.001 およびそれに対応する検出手法。

ダイヤモンド・モデルの7つの公理とは何ですか？

7つの公理は、このフレームワークの正式な理論的基盤です。これらの公理は、すべての侵入イベントには、攻撃者がインフラストラクチャを介して被害者に対して能力を使用することが含まれること（公理1）、イベントは順序付けられたシーケンスに従うこと（公理2）、能力とインフラストラクチャには方向性があること（公理3）、そして完全に記述されたイベントは4つの特徴すべてを満たすこと（公理4）を確立します。公理5から7は、攻撃者のペルソナ、能力の完全性、およびインフラストラクチャの再利用について扱います。インフラストラクチャが共有され再利用されるという公理7は、アナリストが共有C2サーバーまたはドメインを介して一見無関係な侵入をリンクできるため、おそらく最も実用的な価値があります。

ダイヤモンド・モデルにはどのような認定資格が含まれていますか？

ダイヤモンド・モデルは、CompTIA Security+（SY0-701、ドメイン4.2）、CompTIA CySA+（CS0-003）、およびEC-Council CEHで扱われています。また、TryHackMeのSOCレベル1トレーニングルームや、LinkedIn Learningの認定試験対策コースでも取り上げられています。原著者の1人であるセルジオ・カルタジローネ氏は、Threat Intelligence Academyを通じて、ダイヤモンド・モデルに特化したコースを提供しています。認定試験の準備をしているアナリストにとって、4つの主要な構成要素とその相互関係、およびダイヤモンド・モデルがキルチェーンやATT&CKとどのように異なるかを理解することは、最も頻繁に出題される分野です。

ダイヤモンド・モデル分析に対応しているツールにはどのようなものがありますか？

ダイヤモンドモデルの共同執筆者であるアンディ・ペンダーガスト氏が共同設立したThreatConnectは、脅威インテリジェンスプラットフォームにこのフレームワークをネイティブに組み込んでいます。MISP（マルウェア情報共有プラットフォーム）とOpenCTIは、エンティティ関係モデリング機能を備えたオープンソースの代替ソリューションを提供しています。多くのチームは、小規模な分析のために、カスタムスプレッドシートテンプレートやdraw.ioなどの図作成ツールも使用しています。STIX（構造化脅威情報表現）およびTAXII（信頼できる自動指標情報交換）標準との統合により、ダイヤモンドモデルで構造化されたインテリジェンスを組織やプラットフォーム間で自動的に共有することが可能になります。