人工知能を導入する組織は、従来のセキュリティフレームワークでは対処が想定されていなかった新たな脅威の領域に直面している。SecurityWeekの「Cyber Insights 2025」によると、AIを活用したサイバー攻撃は2025年だけで72%急増した。この急増は、AIシステムに対する敵対的脅威を理解し防御するための体系的なアプローチを必要としている。 ここにMITRE ATLASフレームワークが登場する。これは攻撃者が機械学習およびAIシステムを標的とする手法を体系的に記録するために特別に設計された、初の包括的な敵対的機械学習知識ベースである。
セキュリティチームが既に精通している MITRE ATT&CKに精通しているセキュリティチームにとって、ATLAS(検索ではAtlas MITREと表記される場合あり)はAIセキュリティ領域への自然な拡張を提供します。本ガイドは、フレームワークの基礎から実践的な検知戦略まで、セキュリティアナリスト、SOCリーダー、AIエンジニアが敵対的AI攻撃に対してATLASを運用するために必要なすべてを提供します。
MITRE ATLASは、人工知能および機械学習システムを特に標的とする攻撃者の戦術、技術、手順(TTP)を文書化した、世界中からアクセス可能な敵対的機械学習知識ベースです。MITRE ATLAS敵対的AI知識ベースとも呼ばれ、セキュリティチームがAI特有の脅威を理解し、検知し、防御するための体系的なアプローチを提供します。広くMITRE ATT&CK モデルに構築されたMITRE ATLASフレームワークは、脅威モデリングにおける決定的な機械学習セキュリティフレームワークとして機能します。この頭字語は「人工知能システム向け敵対的脅威ランドスケープ(Adversarial Threat Landscape for Artificial-Intelligence Systems)」を表します。
2025年10月現在、公式MITRE ATLAS変更履歴によれば、本フレームワークには15の戦術、66の技術、46のサブ技術、26の緩和策、および33の実例ケーススタディが含まれています。これはAI脅威の急速な進化に牽引され、以前のバージョンから大幅な成長を示しています。
敵対的機械学習(機械学習システムへの攻撃と防御策の研究)は、NISTが文書化した4つの主要な攻撃カテゴリ(回避攻撃、汚染攻撃、プライバシー侵害攻撃、悪用攻撃)を包含する。ATLASはこれらの攻撃パターンをマトリクス構造に整理し、セキュリティ実務者が即座に活用できるようにしている。
MITREはセキュリティ環境における重大なギャップに対処するためATLASを開発した。ATT&CKは従来のITおよびOTインフラに対する脅威を効果的に分類しているが、機械学習システムの固有特性を悪用する攻撃のカバー範囲が不足している。ATLASはこの空白を埋め、AI脅威インテリジェンスに対して同様に厳格でコミュニティ検証済みのアプローチを提供する。
このフレームワークはまた、 MITRE D3FENDとも連携し、組織がATLASの手法に対して防御策を適用できるようにします。
ATLASとATT&CKの違いを理解することは、セキュリティチームがそれぞれのフレームワークを適用すべきタイミングを判断するのに役立ちます。
表:MITRE ATT&CK RE ATLASフレームワークの比較
ATLASはATT&CKから13の戦術(偵察、初期アクセス、実行、情報漏洩など)を継承しているが、これらを特にAIの文脈に適用している。ATLAS固有のAI特化戦術は次の2つである:
AML.TA0004敵対者が推論APIや直接的なアーティファクトアクセスを通じて標的となる機械学習モデルにアクセスする方法を説明するAML.TA0012敵対者が機械学習モデルを標的とした攻撃を準備する方法を解説します。これには、トレーニングデータの汚染や 裏口 挿入セキュリティチームは包括的な対応のため、両フレームワークを併用すべきである——従来のインフラ脅威にはATT&CKを、AI特化型攻撃ベクトルにはATLASを適用する。
MITRE ATLAS公式ナレッジベースは、ATT&CKの成功を支えたのと同じマトリックス構造を用いて脅威インテリジェンスを体系化しています。この構造を理解することで、効果的な脅威検知とAI脅威モデリングが可能となります。
MITRE ATLASマトリックス(MITRE AIフレームワークマトリックスとも呼ばれる)は、戦術を列、技法を行として表示する。各セルは、AIシステムに対する戦術的目標を達成するために攻撃者が使用する特定の方法を表す。この視覚的な構成により、セキュリティチームは防御範囲の不足を迅速に特定し、防御策の優先順位付けが可能となる。
フレームワークのコンポーネントは連携して動作します:
ATLASデータはSTIX 2.1形式で提供され、セキュリティツールやプラットフォームとの機械可読な統合を可能にします。この標準化された形式は、脅威インテリジェンスプラットフォームやSIEMシステムへの自動取り込みをサポートします。
このフレームワークは、コミュニティからの貢献とMITREの継続的な研究を通じて定期的に更新される。2025年10月のZenity Labsとの共同作業による更新では、新たなエージェント中心の手法が14件追加され、フレームワークの活発な進化が示された。
戦術、技術、手順(TTPs)は脅威情報に基づく防御の中核をなす用語体系である。ATLASでは:
AML.TXXXX.AML.T0051) 直接噴射法および間接噴射法に関するサブ技術を含む。この階層構造により、段階的に詳細な脅威モデリングが可能となります。チームは戦術レベルのカバー率分析から開始し、AIシステムの露出状況に基づいて特定の技術まで掘り下げることができます。
ATLASは、敵対的ライフサイクル全体を網羅する15の戦術に66の手法を体系化しています。この包括的な分類は、競合分析で明らかになった重大な内容の空白を埋めるものです——既存のガイドでは、検知に焦点を当てたガイダンスを含む全戦術を網羅したものはありません。
表:MITRE ATLASの15の戦術と主要な手法の完全リスト
攻撃ライフサイクルは偵察から始まり、攻撃者は標的となる機械学習システムに関する情報を収集する。主な手法には以下が含まれる:
AML.T0051攻撃者はLLMの動作を操作するために悪意のある入力を作成する — これはOWASP LLM01に該当するこれらのAI特化型戦術は、敵対者が機械学習モデルとどのように相互作用し、悪用するかを説明する:
脅威アクターは、以下の手段を通じてアクセスを維持し、検知を回避する:
後期段階の戦術は敵の目標達成に焦点を当てる:
AML.T0020データポイズニングは、モデル動作を操作するために訓練データを改ざんする——重大な データ漏洩 ベクトルラテラルムーブパターンを理解することは、セキュリティチームが攻撃者がこれらの戦術を通じてどのように進行するかを追跡するのに役立ちます。
ATLASは、ドキュメントから実践可能なセキュリティ機能へとフレームワークを変革する、無料で実用的なツールを提供します。このツール群は主要なコンテンツの空白を埋めます——競合他社がこれらのリソースを包括的にカバーすることは稀です。
表:MITRE ATLAS公式ツールエコシステム
ATLAS Navigatorは、フレームワークマトリックスを可視化するインタラクティブなWebインターフェースを提供します。セキュリティチームはNavigatorを以下の目的で使用します:
ナビゲーターはATT&CKナビゲーターと連携し、両フレームワークを横断した統一ビューを実現します。既にATT&CKナビゲーターを利用しているチームは、ATLASインターフェースをすぐに使い慣れたものと感じるでしょう。
2023年3月、マイクロソフトとMITREは、AIシステムに対する自動化された攻撃者エミュレーションを可能にするCALDERAプラグイン「Arsenal」に関する協業を発表した。Arsenalは、高度な機械学習の専門知識を必要とせずにATLAS技術を実装する。
主な機能は以下の通りです:
アーセナルは、現実的な攻撃シミュレーションに対する検知範囲の検証を通じて脅威ハンティングを支援します。インシデント対応チームにとって、アーセナルは攻撃者の能力を理解し、対応手順をテストするのに役立ちます。
AIインシデント共有イニシアチブは、組織がAIセキュリティインシデントを共有し、そこから学ぶことを可能にします。このコミュニティ主導のプラットフォームは以下を提供します:
このインテリジェンスはATLASの更新に直接反映され、フレームワークが最新の脅威パターンを反映することを保証します。
セキュリティチームは、どのAIセキュリティフレームワークを採用すべきかよく尋ねます。答えは、相互補完的なカバー範囲を得るために3つすべてを活用することです。この比較は、各フレームワークを適用すべきタイミングを理解する助けとなり、よくあるPAAの疑問に対処します。
表:AIセキュリティフレームワーク比較:ATLAS vs OWASP vs NIST AI RMF
Cloudsineのフレームワーク分析によれば、これらのフレームワークはAIセキュリティライフサイクルの異なるフェーズに対応している:
表:一般的なAI脆弱性に対するフレームワーク対応表
3つのフレームワークすべてにわたる脆弱性を理解することで、包括的なカバーが可能となる。チームは自社のAI資産を各フレームワークの関連技術にマッピングすべきである。
ATLASをセキュリティ運用に統合するには、検知機能とワークフローへのマッピング技術が必要です。ThreatConnectのSOC統合ガイドによれば、ATLASの緩和策の約70%は既存のセキュリティ制御に対応しています。残りの30%には新たなAI特化型制御が必要です。
SOC統合の手順:
効果的な検知には、ATLAS技術を特定ログソースと検知ロジックにマッピングすることが必要である。
表:優先度 ATLAS 技術のための検出マッピング例
ネットワーク検知および対応機能は、アプリケーション層の検知を補完する。ユーザーおよびエンティティ行動分析(UEBA)は、AIシステムへの異常なアクセスパターンを特定するのに役立つ。
ATLASの運用化を測定するために、以下の指標を追跡する:
四半期ごとの脅威モデルレビューにより、カバレッジがフレームワークの更新や新たな脅威に遅れないようにします。
ATLASには、AIシステムに対する実世界の攻撃を記録した33件の事例研究が含まれています。これらのインシデントを分析することで、理論的な脅威モデリングを超えた実践的な防御的知見が得られます。
2025年11月、MITRE ATLASはモバイルKYC(本人確認)の生体認証システムに対するディープフェイク攻撃を検証した事例研究を発表した。Mobile ID Worldの報道によれば、この攻撃は銀行、金融サービス、暗号通貨プラットフォームを標的とした。
攻撃チェーンの進行:
偵察 → 資源開発 → 初回アクセス → 防御回避 → 影響
防御に関する推奨事項:
この事例研究は、攻撃者がソーシャルエンジニアリングとAIツールを組み合わせてセキュリティ対策を回避し、データ侵害につながる可能性を示すものである。
ATLASケーススタディAML.CS0003のHiddenLayer分析は、研究者が機械学習ベースのエンドポイントセキュリティ製品を回避した方法を文書化している:
AIセキュリティ脅威には、従来のセキュリティ対策を超えた専門的な検知手法が必要である。2025年にはAI支援型攻撃が72%急増するため、組織は積極的な防御戦略を構築すべきである。
AIセキュリティのための防御チェックリスト:
組織はAIセキュリティ投資を以下の両方に整合させるべきである フィッシング 防止(AI生成型 フィッシング が急増中)とランサムウェア防御(AIが高度な攻撃を可能に)の両方に合わせるべきである。
大規模言語モデルは、従来のセキュリティ対策では対処できない独自の攻撃ベクトルに直面している。ATLASはこれらの脅威を体系的にカタログ化している。
表:LLM脅威の種類とATLASマッピングおよび検知手法
最近のCVEは、これらの脅威が実際に存在することを示している:
アイデンティティ脅威の検知および対応機能は、LLMの悪用による検知 窃取試行を検知 役立ちます。
2025年10月のATLASアップデートは、自律型AIエージェント(セッション間で行動を実行し、ツールにアクセスし、コンテキストを保持できるシステム)に特化して対応します。新たな技術には以下が含まれます:
AML.T0058 AIエージェントのコンテキスト汚染エージェントのメモリまたはスレッドコンテキストへの悪意のあるコンテンツの注入AML.T0059 活性化トリガー特定の条件下で起動する埋め込みトリガーAML.T0060 AIサービスからのデータRAGデータベース検索による情報抽出AML.T0061 AIエージェントツールエージェントツールへのアクセス権を悪用した悪意のある目的AML.T0062 AIエージェントツールの呼び出しによる情報漏洩正当なツール呼び出しを用いたデータ抽出AIエージェントのセキュリティ原則:
CISAの2025年12月版AI/OTガイダンスによれば、組織は重要環境で稼働する全てのAIシステムに対し、監視体制と安全装置を組み込むべきである。
AIセキュリティ環境は急速に進化しており、規制圧力と業界連携がフレームワーク導入を推進している。組織は新たな脅威とコンプライアンス要件の両方に備える必要がある。
MITREセキュアAIプログラムは、マイクロソフト、クラウドアストライク、JPモルガン・チェースを含む16の加盟組織の支援を受け、実世界の観測データによるATLASの拡張とAIインシデント共有の迅速化に注力している。
規制動向:
2025年のAIセキュリティ脅威の動向は加速を続けており、業界調査によると87%の組織がAIを活用したサイバー攻撃の被害リスクを報告している。
Vectra Attack Signal Intelligence手法Vectra 、ATLASフレームワークの目標に沿った行動ベースの検知原則を適用します。静的なシグネチャではなく攻撃者の行動に焦点を当てることで、組織はハイブリッドクラウド環境全体において、プロンプト注入の試行から推論APIを介したデータ漏洩に至るまで、ATLASにカタログ化された検知 。
このアプローチにより、セキュリティチームはAI関連の真の脅威を特定・優先順位付けしつつ、アラートのノイズを低減できます。ネットワーク検知とレスポンスをアイデンティティ脅威検知と組み合わせることで、AI脅威が標的とする攻撃対象領域全体を可視化します。
MITRE ATLAS(人工知能システム向け敵対的脅威ランドスケープ)は、AIおよび機械学習システムを標的とした敵対者の戦術、技術、事例研究を体系化した、世界的にアクセス可能なナレッジベースである。MITRE ATT&CKモデルに構築されたATLASは、AI特有の脅威を理解するための構造化されたフレームワークを提供する。 2025年10月現在、15の戦術、66の手法、46のサブ手法、26の対策、33の実例ケーススタディを収録。セキュリティチームは脅威モデリング、検知技術開発、AIシステムのレッドチーム活動にATLASを活用。フレームワークはatlas.mitre.orgで無償公開中。
ATT&CKが従来のIT/OT脅威に焦点を当てる一方、ATLASはAIおよび機械学習システムを標的とした攻撃に特化して対応します。ATLASにはATT&CKには見られない2つの独自の戦術が含まれます:MLモデルへのアクセス(AML.TA0004) および ML 攻撃ステージング (AML.TA0012両フレームワークは同一のマトリックス構造とTTP手法を採用しているため、ATT&CKに精通したセキュリティチームはATLASを容易に活用できます。組織は両フレームワークを併用すべきです——インフラ脅威にはATT&CKを、AI特化型攻撃ベクトルにはATLASを適用します。両フレームワークは共通戦術を共有しつつ、異なる技術的文脈に適用します。
2025年10月現在、MITRE ATLASには15の戦術、66の技術、46のサブ技術が含まれています。2025年10月の更新では、Zenity Labsとの共同作業により、自律型AIエージェントのセキュリティリスクに対処する14の新規エージェント特化技術が追加されました。 本フレームワークには26の対策と33の事例研究も含まれる。これは以前のバージョンから大幅な拡充であり、一部の古い情報源では56の技法が記載されているが、これは2025年10月以前の集計値である。最新の統計については常に公式のATLAS変更履歴を参照のこと。
プロンプト注入AML.T0051ATLASは、攻撃者が悪意のある入力を作成してLLMの動作を操作する初期アクセス手法である。ATLASは、直接プロンプト注入(ユーザー入力内の悪意のあるコンテンツ)と間接プロンプト注入(LLMが処理する外部データソースに埋め込まれた悪意のあるコンテンツ)を区別する。この手法はOWASP LLM01に該当し、LLMアプリケーションに対する最も一般的な攻撃ベクトルの1つである。 検出は入力パターン分析と出力挙動監視に重点を置く。CVE-2025-32711(EchoLeak)を含む最近のCVEは実環境での悪用実例を示している。
ATLAS Navigatorを使用してフレームワークを可視化し、AI資産を関連技術にマッピングするカスタムレイヤーを作成します。まず、すべての機械学習モデル、トレーニングパイプライン、AI対応アプリケーションを棚卸しします。システムアーキテクチャに基づき、機械学習パイプラインの各段階に適用可能な戦術を特定します。露出度と発生可能性に基づいて技術の優先順位を付けます。検知機能をマッピングしてカバレッジ可視化を作成します。包括的なカバレッジを実現するため、ATLASをSTRIDEなどの既存脅威モデリング手法やATT&CKと統合します。 フレームワークの進化に伴い、脅威モデルを四半期ごとに見直し更新します。
ATLASはいくつかの無料ツールを提供しています。 Navigatorは脅威モデリングとカバレッジマッピングのためのウェブベースのマトリクス可視化を提供します。ArsenalはMicrosoftとの共同開発による自動化されたAIレッドチームングのためのCALDERAプラグインです。AIインシデント共有イニシアチブは匿名化されたインシデント報告を通じたコミュニティ脅威インテリジェンス共有を可能にします。AIリスクデータベースは検索可能なインシデントおよび脆弱性情報を提供します。全てのツールはatlas.mitre.orgおよびMITREのGitHubリポジトリからアクセス可能です。これらのツールはATLASを単なる文書化から実践可能なセキュリティ機能へと変革します。
ATLASとOWASP LLM Top 10は相互補完的な目的を果たします。ATLASは脅威モデリングと検知のための攻撃者中心のTTPフレームワークを提供する一方、OWASPはセキュア開発のための開発者中心の脆弱性リストを提供します。開発およびコードレビュー段階ではOWASPを活用し、運用セキュリティ、脅威モデリング、検知開発にはATLASを活用してください。多くの脆弱性は異なる視点で両フレームワークに現れます。例えば、プロンプトインジェクションはATLASのテクニックです。 AML.T0051 およびOWASP LLM01。最適なアプローチは、ガバナンスのために両フレームワークをNIST AI RMFと組み合わせることである。