ペネトレーションテスト/TLPT/レッドチーム演習の最適活用法
TLPT、ペネトレーションテスト、レッドチーム演習は、いずれも「攻撃者視点で自組織のセキュリティを評価する」という共通点を持っています。そのため、外形的には似た取り組みとして扱われがちで、顧客のセキュリティ担当者からも「違いが分かりにくい」「どれを選べばよいのか判断が難しい」という声をよく耳にします。
しかし、実際の現場から見ると、これら三つは同じレベルの組織を対象としたものではありません。違いは手法や演出の派手さではなく、「その組織がどの程度のセキュリティ成熟度にあるか」に強く依存します。
本記事を通じて、自組織のセキュリティ成熟度と照らし合わせながら、各サービスの位置づけを考えるヒントを提供できれば幸いです。
※TPLTとペネトレーションテストの違いについては、『ペネトレーションテストとTLPTの違い』をご参照下さい。
セキュリティ成熟度モデルについて
組織のサイバーセキュリティの状況や成熟度を客観的に俯瞰するためのモデルとして、Robert M. Lee 氏が提唱した「The Sliding Scale of Cyber Security」があります。
※同モデルについての詳しい解説は、『積極的サイバー防御のススメ』をご参照下さい。
本モデルは2015年に提唱されたもので、現在ではEDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)の普及により、多くの組織は受動的防御と能動的防御の中間に位置していると考えられます。
ただし、EDRを導入しただけで運用や対応体制が整っていない場合は、実際には能動的防御が十分に機能せず、受動的防御と大きく変わらない組織も少なくありません。
このような「検知・対応の基盤」が不十分な状態で、高度なレッドチーム演習やTLPT(脅威ベースのペネトレーションテスト)を実施しても、単なる「脆弱性や設定不備の指摘」に終始してしまい、本来の目的である「組織のレジリエンス向上」に繋がらない懸念があります。
そのため弊社では、お客様とのミスマッチを防ぎ、演習の投資対効果を最大化する観点から、EDRの監視運用やSIEMの検知ロジックが既に整備されている組織様に対して、TLPTやレッドチーム演習のご導入を推奨しております。
MITRE ATT&CK
レッドチーム演習やTLPT(脅威ベースのペネトレーションテスト)を語る上で欠かせないフレームワークがMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)です。
このモデルを参照すると、「偵察(Reconnaissance)」や「初期潜入(Initial Access)」など、ペネトレーションテストと共通するフェーズが多いことに気づくと思います。しかし、両者の決定的な違いは「検知の許容(ステルス性の要否)」にあります。
レッドチームやTLPTの目的は、組織の検知・応答能力を試すことにあります。そのため、攻撃者は極めて慎重に振る舞わなければなりません。例えば、初期段階での不用意な大量パケット送信や、不用意な実行ファイルの設置は、即座にEDRやSIEMに捕捉され、演習がその時点で中断してしまうリスクを孕んでいます。
このように「見つからないこと」を最優先する隠密行動下では、時間的な制約から調査できる範囲や手法が大幅に制限されます。結果として、網羅的な脆弱性の洗い出しや設定不備の特定という点では、ペネトレーションテストほどの成果は期待できない場合があります。
Purple Teaming
「では、どうすれば受動的防御から能動的防御へと引き上げることができるのか」という課題に対し、極めて有効な手法が「パープルチーム(Purple Teaming)」です。パープルチームとは、攻撃側(レッドチーム)と防御側(ブルーチーム:組織のCSIRTやSOC)が対立構造ではなく、密接に協業・連携する演習形式を指します。
パープルチーム演習がもたらす効果として、従来のレッドチーム演習が「抜き打ち試験」であるのに対し、パープルチームは「共同演習」です。
具体的には以下のようなサイクルを回すことで、組織の防御力を底上げします。戦術の共有(レッドチームが攻撃手法をあらかじめ開示し、目の前で攻撃を再現)、検知の微調整(攻撃が行われた瞬間、ブルーチーム側のSIEMやEDRで「ログが出ているか」「アラートが鳴ったか」を即座に確認)、改善の即時実行(検知漏れがあれば、その場で検知ルールの修正や構成変更を行い、再テストを実施)を行います。
このように、攻撃と防御の知見を融合させることで、「自社の環境に最適化された検知ロジック」を構築し、能動的な対応が可能な組織体へと進化させることが期待できます。
まとめ
サイバーセキュリティの評価手法は、どれが優れているかという「質の差」ではなく、組織の今のフェーズに「適しているか」という「適合性の問題」です。セキュリティ対策に「終わり」はありませんが、「今、何をすべきか」という優先順位は明確に存在します。自組織の現在地を正しく見極めることが、限られた予算とリソースで最大の防御効果を得るための唯一の近道です。
「EDRを導入したので、まずはその実効性を評価したい」や「脆弱性や設定不備もしっかり確認したい」というご要望に対しては、検知されるまではレッドチーム演習を実施、検知後はぺネトレーションに切り替えるハイブリッド型のシナリオをご提案することも可能ですので、ぜひ弊社にご相談ください。
