TTPs（Tactics, Techniques & Procedures）

TTPs（Tactics, Techniques & Procedures）とは、ひとことで言えば、脅威アクターが攻撃を実行する際の「戦術（何を達成したいか）」「技術（どの手法を使うか）」「手順（具体的にどう実行するか）」を体系的に記述したものです。たとえば、「初期侵入」が戦術、「スピアフィッシング」が技術、「件名に請求書を装い、マクロ付きExcelを添付して送信する」が手順にあたります。IOC（IPアドレスやハッシュ値）が容易に変更されるのに対し、TTPsは攻撃者にとって変更コストが高いため、より持続的な検知基盤を構築できます。MITRE ATT&CKフレームワークで体系化されています。