NCA Annual Conference 2025 登壇レポート

セッションテーマ ペネトレーションテスト駆動型CSIRT訓練

登壇者

• 飯田 貴昭（Wave SIRT / CSIRT長）

• 西岡 大助（Red Team / ペネトレーションテスト担当 / ブログ執筆者）

会社合併に伴う新CSIRTの構築を受け、ドキュメントや体制の実効性を検証するため、CSIRTとRed Teamが連携した実践的なCSIRT訓練(ペネトレーションテスト駆動CSIRT訓練)を実施しました。

実際の攻撃手法を用いることで、机上の訓練ではわからない運用上の課題や不足していた視点が明らかになりました。今回登壇させていただいたのは、ペネトレーションテストを組み合わせた訓練によって、机上では困難だった課題抽出が可能になった経験を共有するためです。 他組織のCSIRTにおける訓練の高度化にも貢献できると考え、登壇の機会をいただきました。

当社は今年、関連会社との合併に伴いCSIRT（Wave SIRT）を再構築しました。設置要領、セキュリティポリシー、対応フロー、手順書といったドキュメント類を一から整備しましたが、それらはまだ机上でしか確認できていない状態でした。そこで、CSIRTの成熟度向上と、整備したドキュメントの実効性を検証することを目的として、今回の訓練を実施しました。

今回の訓練の特徴は、より実践的な形式を取り入れた点にあります。 具体的には、当社のRed Team（攻撃側）が実際のペネトレーションテスト（侵入テスト）を実施し、その攻撃をCSIRT（防御側）が検知・対応するというシナリオで行われました。

• Red Team: 端末への疑似マルウェア実行、ネットワーク探索、C&Cサーバー通信、ADサーバーへの侵入試行などを実施。

• CSIRT: EDR（Endpoint Detection and Response）による検知・隔離、インシデント対応、机上訓練を実施。

また、訓練にはRedTeamのペネトレーションテストで使用する「ペネトレーション可視化ツール」を導入しました。これにより、攻撃の状況（通信経路や侵害状況）をリアルタイムに可視化し、訓練参加者全員が攻撃の全体像を常に把握できる環境を整えました。

実際の訓練の様子(左側：CSIRT　右側：Red Team)

訓練の結果、EDRによるマルウェアの検知・隔離といった初期対応は成功しましたが、一方でRed Teamによる「検知回避」の試行（PowerShellコマンドの悪用など）により、一定の情報収集や内部侵攻を許してしまう場面もありました。

また、実際にインシデント対応フローを回してみることで、以下のような具体的な課題が浮き彫りになりました。

• エスカレーションフローの不足

• ドキュメントにおける定義の曖昧さや判断基準不足

• インシデント対応フローの間違いやヒアリング準備の不足

これらの結果から、整備したドキュメントの実効性検証という目的は達成されたものの、インシデントレベルの定義の曖昧さや、メンバーの実践的なスキル向上（分析・意思決定）が必要であることが確認されました。

今回の訓練を通じて、基礎的な対応フローの確認はできた一方で、より実戦的な判断力や高度な攻撃への対応力に課題が残ることが分かりました。これらを踏まえ、今後は以下の2つの軸で訓練を強化していく予定です。

■ SOC運用成熟度の確認
実際の運用現場（SOC）で求められる能力(トリアージ、相関分析、セキュリティ製品のチューニング等)を評価するためのシナリオを計画しています。

■ 高度な攻撃シミュレーション（回避技術への対応確認）
攻撃者の技術は日々高度化しています。そのため、以下のような高度な手法を取り入れた訓練を実施し、防御・検知が可能かを確認します。

• 外部侵入の高度化: OSINT（公開情報調査）を通じて漏洩情報を収集し、認証情報や既知の脆弱性を悪用した侵入を試行します。

• 検知・防御の回避: EDRの検知回避技術を駆使したマルウェア展開や、正規トラフィックに偽装した通信を行います。

• 機密情報の窃取と暗号化: DLP（情報漏洩対策）回避技術による情報の持ち出しや、ランサムウェア攻撃を想定した疑似的な暗号化プロセスを実行します。

私たちの目指す姿は、一度きりの訓練で終わらせるのではなく、「現状の組織に合った目標設定」→「実践的な訓練」→「課題抽出と対策」→「目標の更新」というサイクルを回し続けることです。 今後も、全社的なセキュリティレベルの向上を目指し、より実践的で有意義な活動を続けてまいります。

発表中の様子

当日は、会場に立ち見が出るほど非常に多くの方にご来場いただきました。それだけ、多くの企業がCSIRTの実効性を課題に感じており、より実践的な知見を求めていることを肌で感じる機会となりました。

今回の訓練を通じて得られた最大の気づきは、やはり「実践」の重要性です。ドキュメントを整備するだけでは見えてこなかった課題が、ペネトレーションテストという攻撃者の視点を取り入れることで初めて浮き彫りになることを、私たち自身も再認識しました。

今後は、より現実に即した脅威に対抗するため、SOC運用の成熟度（トリアージや相関分析能力）の確認や、検知回避技術を駆使した高度な攻撃シミュレーションを行い、さらなるセキュリティレベルの向上を目指していく予定です。

最後になりますが、会場および展示ブースにお越しいただいた皆様、誠にありがとうございました。今回の発表でご紹介した「ペネトレーションテスト駆動型CSIRT訓練」は、当社サービスとして皆様の組織でも実施可能です。
より実践的な訓練にご興味をお持ちいただけましたら、ぜひ以下のリンクよりお問い合わせください。

ペネトレーションテストサービスリンク
ペネトレーションサービス紹介download