レッドチーム演習とは何でしょうか?一般的なペネトレーションテストとは、どのように異なるのでしょう。ブルーチーム、レッドチーム、ホワイトチームは何のために構成されるのでしょうか。サイバー演習はどのように実施し、どのような結果が得られるのでしょう。この記事では、レッドチーム演習に関連したこれらの疑問にお答えしようと思います。
レッドチーム演習とは
レッドチームは攻撃し、ブルーチームは防御します。元々は軍の演習であったものが、サイバーセキュリティの世界でレッドチームプロジェクトとして実施されるようになったもので、実際のハッカーグループが使用する戦法やツールを用いて、定期的に行う標的型攻撃のシミュレーションを意味します。
情報セキュリティ分野では、組織のセキュリティレベルを評価する方法が数多く存在します。これには、アプリケーションとシステムのセキュリティ分析、ペネトレーションテスト(ペンテスト)、従業員のセキュリティ意識の評価などが含まれます。なかでも、レッドチーム演習は最も高度なセキュリティ評価アプローチと考えられています。
レッドチーム演習をよく理解していただくために、まずペネトレーションテストについて説明します。ペネトレーションテストの本質は、ネットワーク境界の外部または内部からネットワークに侵入する方法を見つけることです。そもそも、ペンテストは、境界の突破やユーザー権限の昇格を可能にする方法を明らかにすることのみを目的とするものです。そこで発見された問題に解決策を提供する義務はありません。ペンテスト実施前に、顧客がこのように言うことがあります「我々は保護機能の強化に努めてきました。ハッキングされることはないという自信があります。本当にそうであるか、是非チェックしてください」。
ペンテストの対象は、システム自体、セキュリティ設定、ネットワークデバイス、およびユーザーであって、サイバー脅威に対するセキュリティチームの検出・対抗能力をテストするものではありません。ペンテストの実行プロセスでは、特定のセキュリティ機能を無効にして、ホワイトリストに複数のアドレスを追加することを要求する場合があります。ペンテストに割くことのできる時間は限られているため、このようなやり方が普通です。30日程度の間に、すべてのウイークポイントを見つけ出す必要があります。ただし実際の環境では、攻撃は時間を限って行われるものではありません。
たとえば、サードパーティのWAF回避のために顧客の費用を充てるのは適切ではないでしょう。顧客がIP(ペンテスターが使用するすべてのIPアドレスはプロジェクト計画の間に必ず提供されます)を使用して、ペンテスターを誇らしげにブロックし、ペンテストで勝利したと考えるのは、さらにおかしな状況です。これでは、顧客自身がプロジェクトの時間を無駄遣いしたことになります。
ペンテストは情報システムに対する受動的なセキュリティを評価するものです。一方、レッドチーム演習ではアクティブなセキュリティを評価します。
レッドチーム演習とペンテストでは、サイバー攻撃に対する似たようなツールを使用しますが、その目的と結果は非常に異なります。レッドチーム演習では評価の「深さ」に焦点を当てていますが、ペンテストでは最大数の攻撃ベクトル、つまり「幅」をカバーすることを目的としています。
レッドチーム演習の主な目的は、APT攻撃をはじめとする高度なサイバー攻撃を検出・対応する組織の能力をテストして強化することです。
セキュリティチームは、レッドチーム演習を実施し、制御された攻撃への対応を練習しておくことにより、既知の脅威を検出して、実際の攻撃を初期段階で(あるいはその前段階で)阻止するスキルを強化することができます。それはまた、物理的損失および評判の失墜から企業を守ることにもつながります。
ペンテストに何を足せばレッドチーム演習になるのでしょうか。
サイバー演習の定期性
セキュリティとは、ある状態を指すのではなく、絶え間ない変化を伴うプロセスであることを私たちは皆知っています。IT部門はサービスの追加や変更を行いますが、多くの場合、情報セキュリティチームのような知識がないままに、その機能をテストしています。経営陣は企業システムへのリモート接続を簡素化するように要求しますが、これもセキュリティ上の問題となります。さらに、合併・買収となれば、企業ネットワークに新しいパートナーや請負業者が加わることになります。このようなプロセスによって、数か月前に構築されたインフラストラクチャーの状態とはまったく異なるものになります。
あらゆるシステムを保護するためには、そのセキュリティの状態を定期的に評価する必要があります。勢いのある成長を遂げている企業の場合、3か月に1度のレッドチーム演習である程度十分と言えますが、これに制限はありません。ネットワークとアプリケーションの定期的な変更に伴い、多くのことが新しいセキュリティ評価の対象として蓄積されます。
予測不可能な攻撃
ネットワーク環境の突然の変化に伴う問題が発生し、新しい攻撃ベクトルが出現したことが定期的なチェックによって判明した。そして、ITチームとISチームがすべての変更を制御することに同意した。しかし新しいペンテストとアプリケーション分析から得られる結果が不十分である。このようなときにレッドチーム演習を始めます。
そこからは、攻撃に対抗するための情報セキュリティ部門の準備態勢をコントロールすることに焦点を移すことになります。重点は、脆弱性を探すことから、標的型攻撃のシミュレーションに移ります。ソーシャルエンジニアリングの手口や技術的手段が増えてくれば、「幅」から「深さ」へと移行します。プロジェクトには、攻撃シミュレーションと、IS(ブルー)チームによる対抗アクションの2つのタイムラインの比較を含める必要があります。
レッドチーム演習では、防御担当者は、いつ何が行われるか知らされません。進行中のレッドチーム演習において、不意の攻撃への対応はセキュリティ担当者にとって当たり前の訓練となっています。そして、それが真の意味でのセキュリティであると言えます。
知識とスキル
レッドチーム演習の目的は、ブルーチームをやり込めることではなく、最初の段階で設定した目標を達成すること、その過程をなるべく詳細に文書化すること、さらに、防御側が犯したミスについて通知し、将来的にそれを防ぐ方法について伝えることです。したがって、レッドチーム演習を繰り返すたびに、ブルーチームのスキルと知識が向上します。
レッドチームは、演習の都度、ターゲットシステムに対する知識を増強しています。前回の演習で使用した攻撃テクニックは、防御側にすでに特定・無力化されているため、それまで以上の高レベルの攻撃を仕掛けます。そのようにして、現実的なトレーニングのためのシステムが自律的に確立されるのです。
レッドチーム演習におけるステージ
レッドチーム演習のプロジェクトは、いくつかの連続するステージに分けることができます。その中で最も重要なステージは、脅威インテリジェンスシナリオの開発とその実装、つまり「アクティブなテスト」のフェーズです。
最初の段階では、レッドチームは脅威インテリジェンスの収集を行います。これには、潜在的なサイバー犯罪者の何千ものプロファイルが含まれる場合があります。この脅威インテリジェンスを使用して、標的型攻撃の分析レポートを準備します。第2のステージは、実際の攻撃活動です。
なかには、脅威インテリジェンスを購入して、自社の従業員を使ったレッドチーム演習を行う企業もあります。これを行うには、5〜10人(ペンテスターと技術監査担当者)による十分にトレーニングされた情報セキュリティチームを選抜し、SOCを設置するとともに、いくつかの主要なマーケットプレーヤーから脅威インテリジェンスを購入する必要があります。
残念ながら、この理想的な環境を実現するには、予算、何らかの都合や常識といった障害が立ちはだかります。すべての組織が自社のセキュリティにそれほど真剣に投資する必要があるわけではありません。たとえそれが大規模な金融機関であってもです。
サードパーティを雇ってのレッドチーム演習に乗り気でない企業の場合でも、セキュリティのレベルに大きな悪影響を与えることなく費用を節約する方法を見つけられるかもしれません。レッドチームとブルーチームの人数を減らして演習を行うという手もあるかもしれません。ここで重要なのは、勤務時間外にインシデントを制御する可能性があるということです。SOCは、訓練の質を損なうことなく、むしろ向上させながらアウトソーシングすることができます。なぜなら、日常的にインシデントに遭遇している受託業者は、企業内のアナリストよりはるかに有能である可能性が高いからです。
レッドチーム演習の期間は、合意されたシナリオの数によって異なります。平均的なプロジェクト期間は3~6か月ですが、1年あるいは5年のプロジェクトも存在します。もちろん、最も有益なのは、常時実施のレッドチームプロジェクトです。
まとめ
レッドチームサービスに興味を持つのは、主に専門の情報セキュリティ部門を持たない中規模から大規模の企業です。そのような企業に莫大な資金や顧客データがあるならば、攻撃者にとって格好の標的となるでしょう。最近発生した数多くのランサムウェア攻撃は、このことを裏付けています。今日の情報セキュリティ担当者は、多種多様なサイバー攻撃に対抗するための準備を整えておく必要があります。近年、中堅企業の多くが情報セキュリティをアウトソーシングする傾向にあり、受託業者の仕事の質をチェックするのは当然のこととなっています。基本的なレベルの情報セキュリティを備えた企業は、レッドチーム演習を必要としません。まずは、ペンテストやセキュリティ技術監査のような標準的なサービスから始めるべきでしょう。
執筆者について:David Balaban氏は、TechShielder.comに寄稿するサイバーセキュリティの専門家です。特に、マルウェア分析、オンラインプライバシー、ソフトウェアテストの分野に精通しています。また、サイバー脅威の現状を常に把握し、コンピューターウイルスの進化を監視するために最善を尽くしています。13年にわたる経験から、セキュリティがどのように機能し、インターネット上でプライバシーを維持することがいかに重要であるかを熟知しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
