TOPセキュリティ > レッドチーム演習の勘どころ(上)

セキュリティ

レッドチーム演習の勘どころ(上)

2022/02/14

David Strom CSO

 企業のサイバーセキュリティー対策で取り入れられている手法の1つに、レッドチーム演習がある。攻撃側のレッドチームと、防御側のブルーチームが、実戦的な攻防を繰り広げる。

Credit: Thinkstock
Credit: Thinkstock

 例えばレッドチームは、フィッシングのリンクを従業員がクリックして社内ネットワークにマルウエアが入り込んだ状況を作り出す。ブルーチームは、会社全体に感染が広がる前に、このマルウエアを発見して対処できるかが問われる。演習のリアルさを高めるために、本物のネットワークトラフィックを再現して攻撃を分かりにくくする策も講じられる。

 レッドチーム側は、実際の攻撃者が使うのと同じツールや手法を用いて、会社の防御体制を突破することを目指す。ペネトレーションテストと似ているが、レッドチーム演習の攻撃の方が、対象範囲が広い。

 数多くのレッドチーム演習に携わってきたセキュリティーコンサルタントのDaniel Miessler氏は次のように説明する。「レッドチームは、脆弱性の有無を調べるだけの役割ではない。実際のサイバー攻撃者が使いそうなツール、ヒント、手法を駆使して、ある程度の期間にわたるキャンペーンを展開する。優れたレッドチームは、いわば早期警報システムの役割を果たし、一般的な攻撃元を割り出したり、敵の手法を把握したりするうえで役立つ」

 米IBMの元アーキテクトで、大規模なIT部門に携わった経験を持つ某氏は、「レッドチームのテストになかった脅威もきっと出てくる。ブルーチームでは歯が立たず、会社の事業を継続不能にしかねない脅威もある」と注意を促す。また、IBMのセキュリティー専門チームX-Force Redのグローバル戦略リード、Cris Thomas氏は、「企業によっては、もっぱら物理的な侵入という観点でレッドチームを捉えているところもある」と話す。

 一方、防御側のブルーチームは、多くのIT部門で見られるような社内セキュリティーチームをモデルとしている。Miessler氏は、ブルーチームにとって重要な要素として、先回りの意識、飽くなき好奇心、検知とレスポンスの継続的な改良を挙げる。

 なお、レッドチームとブルーチームという二分法は、実際には必ずしも正確ではない。演習によっては、次のようなチームも必要となる。

 ホワイトチーム。ネットワーク所有者やIT管理者で構成され、演習を実施するための機器の運用や台本の作成を担う。台本は、既製のものを使う場合と、独自に作成する場合とがある。

 ゴールドチーム。特定分野の専門家らで構成され、演習のコンサルタント役となる。例えばセキュリティーベンダーの担当者や法務アドバイザーなどが参加し、デジタルフォレンジックなどの専門的な作業を担当する。

↑ページ先頭へ