セキュリティチームは長年、 MITRE ATT&CK を敵対者の行動理解に活用してきました。しかし攻撃者の手法を知るだけでは不十分です。もう一方の要素——それらの攻撃に対する具体的な防御策——はこれまで明確化されていませんでした。それが今、変わろうとしています。
MITRE D3FEND 一般的に「MITRE Defend」としても検索される)が欠けていたピースを提供します。MITRE Defendフレームワークで検索しても、正式名称のD3FENDで検索しても、同じ強力なリソースが見つかります。国家安全保障局(NSA)の資金提供により2021年6月に開始されたこのベンダー中立のナレッジグラフは、セキュリティ対策手段を体系化し、それらを直接ATT&CKの攻撃者行動にマッピングします。 3年間のベータ開発を経て、このフレームワークは2025年1月に1.0の一般提供開始というマイルストーンに到達し、セマンティックグラフの規模は初期リリース時から3倍に拡大しました。
タイミングはこれ以上ないほど重要だ。2025年12月の運用技術環境への拡張により、D3FENDは今や企業および産業セキュリティの全領域に対応する。これによりブルーチームの実務者は、防御体制の構築・評価・自動化のための体系化された用語体系を手に入れる。
MITRE D3FEND MITREが開発し国家安全保障局(NSA)の資金提供を受けたサイバーセキュリティ対策のナレッジMITRE D3FEND 。このフレームワークは、MITRE ATT&CK記録された攻撃者の行動に対抗する防御技術を体系化し、機械可読な自動化と攻撃と防御の正確な対応付けを可能にする意味構造を採用している。
この名称は「検知、阻止、妨害フレームワークによるネットワーク防御の強化」を意味する。単純なリストやマトリクスとは異なり、MITRE Defendフレームワークはオントロジーベースの構造を採用し、知識グラフ上の防御技術、それらが保護するデジタルアーティファクト、およびそれらが対抗する攻撃手法間の意味的関係を捉える。これによりD3FENDはブルーチームのサイバーセキュリティ運用に不可欠となる。
2021年6月のベータ版リリース以来、D3FENDは防御的セキュリティ運用における共通語彙を求める128,000人以上のグローバルユーザーを獲得しています。このフレームワークは完全に無料かつオープンソースであり、アクセスや実装にライセンスは不要です。
D3FENDの主な特徴:
D3FENDは、防御側のセキュリティコミュニティが単なる脅威カタログ以上のものを必要としているというMITREの認識から生まれた。ATT&CKが組織の敵対者行動理解に革命をもたらした一方で、ブルーチームの防御者には自らが実施するセキュリティ対策や能力を体系化する同等の枠組みが欠けていた。
このプロジェクトは、国家安全保障局(NSA)、サイバー戦局、および国防次官補(研究・技術担当)室から資金提供を受けた。これは国家安全保障活動におけるその重要性を反映している。
バージョン履歴の主要なマイルストーン:
ベータ版から1.0版への移行は、セマンティックバージョニングと本番環境の安定性への取り組みを示すものです。組織は長期的なセキュリティアーキテクチャの決定において、D3FENDの構造を信頼できるようになりました。
セキュリティ専門家はよくこう尋ねます:MITRE ATT&CK の違いは何ですか?答えは簡単です——これらは相互に補完し合うように設計されたフレームワークであり、連携して機能するものです。
ATT&CKは攻撃者の行動(攻撃側)を体系化します。攻撃者がシステムを侵害するために使用する戦術、技術、手順を文書化しています。セキュリティチームは、脅威モデリング、レッドチーム演習、攻撃パターンの理解のためにATT&CKを活用します。
D3FENDは防御側の対策(防御)を体系化します。セキュリティチームが攻撃の防止、検知、対応に用いる手法を文書化します。チームはD3FENDをギャップ分析、セキュリティ製品の評価、防御プレイブックの構築に活用します。
表:フレームワーク比較
デジタルアーティファクトオントロジーは、二つのフレームワーク間の架け橋として機能する。デジタルアーティファクトとは、攻撃者と防御者の双方が関わるデータオブジェクトおよびシステムコンポーネント(ファイル、プロセス、ネットワークトラフィック、認証情報など)を指す。攻撃者がファイルを外部に流出させる場合、そのファイルはデジタルアーティファクトとなる。防御者が同じファイルを不正アクセスから監視する場合、彼らはそのアーティファクトに対してD3FEND手法を実装していることになる。
以下の場合にATT&CKを使用してください:
D3FENDは次の場合に使用してください:
成熟したセキュリティプログラムの多くは、両方のフレームワークを併用している。例えばパープルチーム演習では、攻撃のシミュレーションにATT&CKを活用し、防御策がそれらの攻撃を検知・軽減できたかどうかを検証するためにD3FENDを用いる。
フラットな分類体系や単純なマトリクスとは異なり、D3FENDは意味論的ナレッジグラフ構造を採用しています。このアーキテクチャにより、高度なクエリ処理、機械推論、および防御技術とそれらが対処する攻撃間の自動マッピングが可能となります。
ナレッジグラフは、相互接続されたノードと関係性として情報を表現する。D3FENDでは、ノードは防御技術、デジタルアーティファクト、攻撃技術を表す。エッジは「対抗する」「監視する」「保護する」といった関係性を表す。
この構造により、セキュリティチームは次のような質問を投げかけることが可能になります:
機械可読形式は自動化も可能にする。SIEMプラットフォーム、SOARツール、セキュリティ分析システムはD3FENDの関係性を取り込み、自動化された検知カバレッジ分析を構築できる。
主要なアーキテクチャ構成要素:
デジタルアーティファクトオントロジーは、D3FENDのATT&CK統合を可能にする基盤です。これは、コンピューティング環境に存在するファイル、ネットワークトラフィック、プロセス、その他のデータオブジェクトといったデジタルアーティファクトの分類体系を定義します。
アーティファクトのカテゴリーには以下が含まれます:
D3FENDが「監視」または「分析」する技術とは、その特定のデータタイプに対する可視性を提供する技術を指します。ATT&CKが「作成」または「変更」する技術とは、攻撃者が攻撃中にそのデータタイプと相互作用することを意味します。
共有オントロジーにより正確なマッピングが可能となる。攻撃者がT1059.001(PowerShell)を使用して悪意のあるスクリプトを実行した場合、プロセス実行とスクリプトのアーティファクトを監視するD3FEND技術がその手法に対抗する。
脅威ハンティングチームにとって、このマッピングは仮説構築のための体系的なアプローチを提供する。ATT&CKのテクニックから始め、それが関与するデジタルアーティファクトを特定し、それらのアーティファクトを可視化するD3FENDテクニックを選択する。
MITRE Defendフレームワークは防御技術を7つの戦術カテゴリに分類する。各カテゴリは防御セキュリティ運用における異なる段階またはアプローチを表し、ブルーチームのサイバーセキュリティ専門家に対して体系化されたセキュリティ対策を提供する。
表:D3FEND戦術カテゴリ概要
モデル技法は、攻撃が発生する前に環境を理解することに焦点を当てます。存在すら知らないものを防御することはできません。
主要なサブテクニック:
強力なモデリングが他のすべてを可能にする。検知ルールには正常な状態の把握が不可欠である。強化には存在するシステムの把握が求められる。対応には資産の重要度の把握が必要である。
ハードニング技術は、設定を強化し脆弱性を悪用される前に除去することで、攻撃対象領域を縮小します。
主要なサブテクニック:
ハードニングは「侵害発生前の防御」という考え方と一致する——攻撃を検知するのではなく、未然に防ぐことである。効果的なハードニングプログラムはD3FENDカテゴリを活用し、包括的な対策を実現する。
検知 敵対者の活動を可視化する。これがD3FENDがセキュリティ監視ツールに最も直接的に対応する部分である。
主要なサブテクニック:
検知 「侵害を前提とする」現実を直接的に扱うため、セキュリティチームから最も注目されています。侵入検知システムを活用する組織は、検知機能をD3FENDの手法に照らし合わせることで、検知範囲の不足箇所を特定できます。
分離技術は、脅威の拡散能力や機密リソースへのアクセスを制限することで脅威を封じ込める。
主要なサブテクニック:
分離はZero Trust 原則を補完する。侵害を前提とし、被害範囲を限定することで、組織は攻撃成功時の影響を軽減する。
欺瞞技術は、偽の資産と制御された環境を用いて攻撃者を誤った方向に誘導する。
主要なサブテクニック:
欺瞞技術は高精度な警告を提供する。攻撃者がおとりと相互作用した場合、それは正当な使用ではなく悪意のある活動をほぼ確実に示している。
排除技術は、脅威を検知した後に環境から除去する。
主要なサブテクニック:
排除は積極的対応フェーズである。インシデント対応チームはD3FEND排除手法を用いて封じ込めと根絶の手順を構築する。
復旧技術は、インシデント発生後にシステムを正常な運用状態に戻す。
主要なサブテクニック:
復元は防御ライフサイクルを完結させる。回復機能なしでは、検知と排除が成功しても組織は劣化した状態に置かれたままとなる。
2025年12月16日、MITREはD3FENDの初回リリース以来最大の拡張となる「D3FEND for Operational Technology」を発表した。この拡張は、インターネットセキュリティを考慮せずに設計されたサイバーフィジカルシステムに対応するものである。
作業療法が重要な理由:
新しいOT専用のアーティファクトには以下が含まれます:
この拡張は、サイバー戦争局とNSAによって資金提供されたものであり、OT環境セキュリティが国家安全保障に及ぼす影響を反映している。
重要インフラを管理する組織向けに、D3FEND for OTはこうした環境向けの初の標準化された防御対策フレームワークを提供します。セキュリティチームは、ITとOTの防御計画策定に同一の手法を活用できるようになりました。
D3FENDが対処する主要なOTセキュリティ課題:
D3FEND for OTが2026年にかけて成熟するにつれ、産業環境に特化した追加のアーティファクト、技術、および実装ガイダンスが提供される見込みです。
D3FENDの構造を理解することは有益ですが、真の価値は実践的な応用から得られます。セキュリティチームはD3FENDをいくつかの主要な方法で活用しています。
セキュリティオペレーションセンター(SOC)は、検知範囲の評価と改善にD3FENDを活用する。既存の監視機能をD3FENDの手法に照合することで、SOCチームは攻撃者の手法が検知されないギャップを特定する。
実用的なワークフロー:
この手法を採用する組織は、ベンダーの約束ではなく実際のカバー範囲の不足点に投資を集中させることで、セキュリティ運用効率が最大30%向上したと報告している。
パープルチーム演習は、現実的な攻撃シミュレーションに対する防御策を検証します。D3FENDは、ATT&CKの攻撃カタログを補完する防御フレームワークを提供します。
D3FENDを使用した演習構造
この構造化されたアプローチにより、パープルチーム活動は臨時のテストから体系的な防御検証へと発展する。
D3FENDは、セキュリティ製品を比較するためのベンダー中立の用語体系を提供します。マーケティング上の主張に依存するのではなく、セキュリティアーキテクトは特定のD3FEND技術カバレッジに基づいて製品を評価できます。
評価手法:
D3FEND FAQはこのユースケースを明示的にサポートしており、同フレームワークが組織に対し「複数の製品ソリューションセットにおける主張される機能性を比較する」ことを支援すると記している。
D3FENDの構造化された分類体系により、一貫性のあるSOARプレイブック開発が可能となります。各D3FEND戦術はプレイブックのフェーズに対応しています。
例:ブルートフォースレスポンスプレイブック
この構造化されたアプローチにより、プレイブックは検知段階で止まることなく、防御ライフサイクル全体を網羅するよう保証されます。
理解から実践への移行には体系的なアプローチが必要です。以下のステップはD3FEND導入のための実践的なロードマップを提供します。
段階的な実装プロセス:
対策アーキテクチャ図解(CAD)ツールは、D3FENDの最も実用的な機能の一つです。バージョン1.0でリリースされたCADツールは、防御シナリオの視覚的モデリングを可能にします。
中核能力:
2025年12月機能強化(バージョン0.22.0):
CADツールは、セキュリティアーキテクト、検知エンジニア、脅威レポート作成者、サイバーリスク専門家を支援します。D3FENDの導入を開始する組織にとって、CADツール演習から始めることで、フレームワークの構造に関する実践的な経験を積むことができます。
代替テキストプレースホルダー:D3FEND CADツールのインターフェース。ブラウザベースのキャンバス上に、防御技術ノード、デジタルアーティファクト接続、および関係エッジが意味論的グラフレイアウトで整理されている様子を示す。
D3FENDは主要なコンプライアンスフレームワークへの公式マッピングを提供し、組織が規制要件に対する防御能力を実証することを可能にします。
公式のNIST 800-53 Rev. 5マッピングは、D3FEND手法を特定のセキュリティ制御と関連付けます。これにより組織は以下が可能となります:
表:D3FENDとNIST CSFの整合性
国防総省環境向けに、D3FENDはDISA制御相関識別子(CCI)へのマッピングを提供します。これにより国防総省組織は、D3FEND技術をセキュリティ技術実装ガイド(STIG)およびリスク管理フレームワーク要件に紐付けることが可能となります。
D3FENDカテゴリZero Trust 直接支援します。強化(Harden)と隔離(Isolate)の戦術は、以下のZero Trust「決して信頼せず、常に検証する」原則に沿っています:
Zero Trust追求する組織に対し、D3FENDは戦略的なコンプライアンス要件を運用化する技術的な防御層を提供します。
D3FEND(MITRE Defend)は、構造化された機械可読な防御的セキュリティへの転換を体現する。このフレームワークは、Zero Trust NIST CSFといった戦略的フレームワークを置き換えるのではなく補完し、ブルーチームのサイバーセキュリティ専門家に対して実行可能なセキュリティ対策を提供する。
現代の防御スタック:
この階層的なアプローチにより、組織は戦略的なセキュリティ要件を具体的な技術的制御と運用手順に落とし込むことが可能となる。
D3FEND導入を推進する業界動向:
Vectra Attack Signal Intelligence 、D3FENDの構造化された防御的アプローチを補完します。D3FENDが既存の防御策をカタログ化するのに対し、Vectra 最も重要な攻撃を発見することに焦点を当てています。
「侵害を前提とする」という考え方は、検知 排除カテゴリと一致する——攻撃者は侵入経路を見つけるものであり、検知とレスポンスが結果を決定づけるという認識である。ユーザー行動分析やネットワークトラフィック分析といった 振る舞い 、検知対策手段を直接実装するものである。
D3FENDの構造化された防御用語とAI主導 明瞭性を組み合わせることで、セキュリティチームは包括的な対策を実施すると同時に、即時対応を要する脅威を優先する多層防御を構築できます。
サイバーセキュリティ環境は急速に進化を続けており、D3FENDのような防御フレームワークが新たな能力の最前線に位置している。今後12~24か月で、組織はいくつかの重要な進展に備える必要がある。
運用技術(OT)の拡張:2025年12月のOT拡張は始まりに過ぎない。2026年を通じて、産業用制御システム向けの追加的な成果物、技術、実装ガイダンスが提供される見込みである。重要インフラの責任を担う組織は、進化する要件に備えるため、直ちに自社のOTセキュリティ制御をD3FENDにマッピングすべきである。
トレーニングおよび認定エコシステム:MITRE ATT&CK を提供するMAD20 Technologiesは、2025年12月にD3FENDトレーニングをカリキュラムに追加すると発表した。36カ国・3,815以上の組織に171,500人以上の認定ディフェンダーを擁する同社のこの拡大は、D3FENDの導入とスキル開発を加速させる。バーレーンNCSCとの提携など国際的なトレーニングプログラムも展開され、グローバルな広がりを示している。
AI/機械学習を活用したセキュリティとの統合:AI主導 採用する中、D3FENDの機械可読オントロジーは自動化された防御範囲分析と推奨を可能にします。セキュリティプラットフォームがギャップ分析とプレイブック生成のためのネイティブD3FEND統合を提供するようになると予想されます。
規制整合性:サイバーセキュリティに対する規制圧力が高まる中(欧州のNIS2、米国のSEC開示要件、世界的な重要インフラ規制など)、D3FENDのコンプライアンス対応マッピングはより価値を高めるでしょう。組織は、D3FENDの機能を参照するNISTおよび規制ガイダンスを追跡すべきです。
準備に関する推奨事項:
MITRE Defendフレームワーク(D3FEND)は、セキュリティチームが防御運用に取り組む方法を変革します。セキュリティ対策のための構造化された機械可読な語彙を提供することで、体系的なギャップ分析、客観的なベンダー評価、自動化されたプレイブック開発を可能にします。これらは従来、手動でのアドホックなプロセスを必要としていた機能です。ブルーチームのサイバーセキュリティ専門家にとって、D3FENDは包括的な防御を構築するために必要な知識グラフベースの防御技術を提供します。
2025年12月の拡張機能——OT拡張と強化されたCADツール——は、D3FENDを包括的かつ実用的なものとする継続的な投資を実証しています。重要インフラを保護する組織にとって、このタイミングは特に重要です。
セキュリティチームが直ちに行うべき次の手順:
AI主導 インテリジェンスでD3FEND防御フレームワークを運用化したい組織は、 Vectra 振る舞い を実装する方法を検討してください。これにより、D3FENDの検知 ネットワーク、アイデンティティ、クラウド環境全体にわたるリアルタイム脅威可視化へと変換されます。
はい、MITRE Defend とMITRE D3FEND 同じMITRE D3FEND 。「D3FEND」は正式なスタイライズド名称(Detection, Denial, and Disruption Framework Empowering Network Defense の略)であり、「MITRE Defend」は一般的な検索用語およびスペルバリエーションです。どちらも d3fend.mitre.org の同じ防御セキュリティ知識ベースにリンクします。 どちらの表記で検索しても、このフレームワークが提供するセキュリティ対策や知識グラフに基づく防御技術は同一です。
はい、MITRE Defendフレームワークは完全に無料かつオープンソースです。このフレームワークはNSAの資金提供を受け、MITREによって維持管理されており、アクセスにライセンスや登録は不要です。 組織はd3fend.mitre.orgで直接D3FENDを無償で利用できます。ナレッジグラフ、CADツール、およびすべてのマッピングリソースが無料で提供されています。このベンダー中立の無料アクセスモデルは、サイバーセキュリティコミュニティのための公共財としてのD3FENDの使命を反映しています。商業組織、政府機関、個人の実務者すべてが、完全なフレームワークに平等にアクセスできます。
D3FENDは四半期ごとの更新サイクルを採用しています。ナレッジベースには、新たな防御技術、デジタルアーティファクト、フレームワークマッピングが定期的に追加されます。現在のバージョンは1.3.0(2025年12月リリース)で、UIバージョンは0.22.0です。更新内容には、コミュニティによって特定された新技術、アーティファクトカバレッジの拡張、コンプライアンスフレームワークへのマッピング改善が含まれます。 組織はD3FENDリソースページでリリース情報を確認し、四半期ごとに更新内容をレビューすることで、防御カバレッジ分析が最新機能を反映していることを保証すべきです。
ATT&CKは攻撃者の手法(攻撃側)を体系化し、D3FENDは防御側の対策(防御側)を体系化する。ATT&CKは「攻撃者はどのように活動するか?」に答え、D3FENDは「どうすれば阻止できるか?」に答える。両フレームワークは接続層としてデジタルアーティファクトオントロジーを共有する——攻撃者が操作し、防御者が保護するデータオブジェクトである。 ATT&CKは脅威モデリング、レッドチーム演習、脅威インテリジェンスに活用される。D3FENDはギャップ分析、セキュリティ製品評価、防御プレイブック構築に用いられる。成熟したセキュリティプログラムの多くは、両フレームワークを補完的なツールとして併用している。
対策アーキテクチャ図作成(CAD)ツールは、D3FENDグラフを作成するためのブラウザベースのアプリケーションです。セキュリティチームが、ドラッグ&ドロップによるノード管理、意味的な関係構築、およびアーティファクトから対策への迅速なマッピングを可能にする「展開」機能を使用して、防御シナリオを視覚的にモデル化することを可能にします。 本ツールはJSON、TTL(Turtle)、PNG形式へのエクスポートをサポートし、脅威インテリジェンス統合のためのSTIX 2.1インポート機能を備えています。2025年12月の更新では、グラフ共有のためのCADライブラリと開発強化の新CAD IDEが追加されました。インストールは不要で、d3fend.mitre.orgのWebブラウザ上で完全に動作します。
はい、2025年12月16日現在です。MITREはD3FEND for OTをリリースし、コントローラー、センサー、アクチュエーター、OTネットワークコンポーネントを含む運用技術(OT)をカバーするようフレームワークを拡張しました。この拡張は、エネルギー、製造、防衛などの重要インフラ分野におけるサイバーフィジカルシステムに対応しています。 このOT拡張は、産業制御システム保護の国家安全保障上の重要性を反映し、サイバー戦争局およびNSAの資金提供により実現しました。OT脅威への完全な準備態勢を報告している組織はわずか14%に留まる中、D3FEND for OTは産業環境向けの防御能力構築に向けた体系的なアプローチを提供します。
はい、D3FENDはNIST 800-53 Rev. 5およびDISA CCIへの公式マッピングを提供します。組織はD3FENDの手法を用いて、要求されるセキュリティ制御の実装を実証し、現在の能力と規制要件とのギャップ分析を構築できます。 本フレームワークはNIST CSF機能とも整合しており、具体的には:- モデル化/強化(Model/Harden)→ 識別/保護(Identify/Protect)-検知 検知(検知)- 隔離/欺瞞/排除(Isolate/Deceive/Evict)→ 対応(Respond)- 復旧(Restore)→ 回復(Recover)このコンプライアンス整合性により、D3FENDは連邦政府・業界・国際的な規制要件の対象となる組織にとって有用です。
D3FENDはSOARプレイブック構築のための構造化された分類体系を提供します。セキュリティチームはD3FENDの技法——強化(Harden)、検知)、隔離(Isolate)、欺瞞(Deceive)、排除(Evict)、復旧(Restore)——を自動化された対応ワークフローにマッピングします。 例えば、ブルートフォース攻撃対応プレイブックでは、アラート生成に検知 、封じ込めに隔離技術、資格情報のリセットに排除技術、予防強化に強化技術を使用する可能性があります。D3FENDの機械可読形式により、SOARプラットフォームは防御技術間の関係を吸収し、プレイブック構造を提案できます。D3 Securityなどのベンダーは、自動レスポンス構築のためのネイティブD3FEND統合を実現しています。
MAD20 Technologies(MITRE ATT&CK プロバイダー)は2025年12月、カリキュラムを拡充しD3FENDトレーニングを追加した。このプログラムは36カ国・3,815以上の組織に所属する171,500人以上の認定ディフェンダーを対象とし、D3FEND導入のための体系的な学習パスを提供する。 トレーニングにはCYBER RANGESラボが含まれ、15のサイバーレンジシナリオと60時間の実践演習を提供。国際的なトレーニングプログラムも展開中——バーレーン国立サイバーセキュリティセンターはパラマウントと提携し、245以上の防御的対策を含むD3FENDトレーニングを実施。MITREは公式D3FENDサイトを通じ、自己学習用ドキュメントとチュートリアルも提供している。
D3FENDナレッジグラフは、単純なリストやマトリクスとは一線を画す、意味論的かつ機械可読な構造です。これは情報を相互接続されたノード(技術、アーティファクト、攻撃)と関係性(対策、監視、防御)として表現します。このオントロジーベースのアーキテクチャにより、「防御技術T1078に対抗する防御技術は何か?」といった高度なクエリや、セキュリティツール統合による自動化が可能となります。 ナレッジグラフ構造により、SIEMプラットフォーム、SOARツール、セキュリティ分析システムはD3FENDの関係性を取り込み、自動化されたカバレッジ分析を実行できます。デジタルアーティファクトオントロジーは、攻撃側のATT&CK手法と防御側のD3FEND対策の間の接続層として機能します。