定番の診断やテストの目的とRed Team演習の効果的な実施方法
今回は、セキュリティ運用の強化に欠かせないセキュリティ対策状況の確認方法を取り上げます。
机上診断、脆弱性診断、ペネトレーションテスト、及びRed Team演習を取り上げて、それぞれの特徴を簡潔に解説します。特にRed Team演習に関しては、ペネトレーションテストとの違いや効果的に実施するために考慮が必要な点についても取り上げます。
机上診断(監査)
現状のポリシー、規程、運用、設定などを確認し、違反等が無いか監査を行います。
具体的な目的は以下の5点です。
- ポリシーと手順の評価: 机上の監査では、組織のセキュリティポリシーと手順が業界のベストプラクティスや適用可能な法規制基準に準拠しているかを確認します。また、これらのポリシーと手順が適切に文書化され、組織全体で一貫して遵守されているかを評価します。
- リスク評価: 組織の情報セキュリティリスクを評価し、リスクを管理するための適切な手段がとられているかを確認します。これには、組織がリスク評価とリスク管理のプロセスを持っていること、そしてそれが定期的に更新されていることが含まれます。
- 法規制遵守: 特定の業界では、定期的なセキュリティ監査が法律や規制で義務付けられています。この目的は、組織がこれらの要件を満たしていることを確認することです。
- システムとアプリケーションの設定確認: セキュリティ設定の不適切な管理は、脆弱性を引き起こす可能性があります。したがって、システムとアプリケーションの設定が適切であることを確認することが必要です。
- 教育と訓練: 組織が従業員に対して適切なセキュリティ教育と訓練を提供していることを確認します。これは、従業員がセキュリティリスクを理解し、適切な行動を取る能力を向上させるために重要です。
脆弱性診断
(複数の)対象システムに対して、スキャンを行い一般的な設定ミスや既知の脆弱性に起因する問題(セキュリティリスク)が無いか確認します。具体的な目的は以下の5点です。
- 脆弱性の特定: 最も基本的な目的は、ネットワーク、システム、アプリケーションに存在する脆弱性を特定することです。これには、未修正のソフトウェア、設定ミス、不適切なアクセス制御などが含まれます。
- 脆弱性の分類と評価: 特定された脆弱性は、重大性、影響範囲、攻撃の容易さなどに基づいて分類と評価が行われます。これにより、対策の優先順位を決定することができます。
- リスクの理解: 脆弱性診断により、特定された脆弱性が悪用された場合に組織にどのような影響を及ぼすかの理解が深まります。これは、リスク管理プロセスの一部として重要です。
- 対策の策定と実施: 脆弱性診断の結果を基に、脆弱性に対する適切な対策を策定し、それを実施します。これには、パッチの適用、設定の変更、新たなセキュリティコントロールの導入などが含まれます。
- 法規制の遵守: 一部の業界規制や法律では、定期的な脆弱性診断の実施が必要とされています。脆弱性診断は、これらの要件を満たし、組織が法規制に遵守していることを証明するための手段の一つとなります。
ペネトレーションテスト(以下ペンテストと表記)
あるシステム環境全体に対して大まかな攻撃シナリオを想定し、想定したシナリオに沿って実際に何処まで侵入可能か確認します。攻撃活動を実施しシステム上の脆弱性を発見するためにペンテストでは様々な攻撃を実施します。具体的な目的は以下の5点です。
- 脆弱性の特定: ペンテストは、ネットワーク、アプリケーション、デバイス、または他のITリソース内に存在する可能性のあるセキュリティ脆弱性を特定するために行われます。これらの脆弱性は、ソフトウェアのバグ、システムの設定エラー、またはユーザーのセキュリティに対する知識不足など、さまざまな要因によって引き起こされる可能性があります。
- セキュリティリスクの評価: ペンテストは、特定された脆弱性が悪用された場合に組織にどのような影響を及ぼすかを評価します。これにより、リスクの優先順位をつけ、リソースを最も重要なリスクに集中することができます。
- 防御策の効果確認: ペンテストは、現在のセキュリティ対策が攻撃に対してどれだけ効果的であるかを確認するために使用されます。これにより、防御策の改善点や強化が必要な領域を特定することができます。
- 法規制の遵守: 日本国内では具体的に明記している例は珍しいですが、海外に目を向けると多くの法規制や業界の規定では、定期的なペネトレーションテストの実施が要求されています。これには、PCI DSS(決済カード業界データセキュリティ基準)やHIPAA(健康情報移行性及び説明責任法)などがあります。ペンテストは、これらの要件を満たし、組織が法規制に遵守していることを証明するための手段の一つとなります。
- 意識向上: ペンテストは、組織のセキュリティ意識を高めるのに役立ちます。テストの結果は、セキュリティトレーニングの一部として使用することができ、従業員が現実の脅威を理解するのに役立ちます。
Red Team演習
攻撃側の実行内容、目的はペンテストと似ていますが、Red Team演習では、ペンテストの目的に加えて防衛側(Blue Team)の課題の洗い出しと改善の支援を指向します。提供するベンダーにより異なる点はあるとおもいますが、弊社が実施する際は組織のセキュリティ運用の課題を明確にするとともに、あるべき姿(To Be)を検討・助言します。Red Team演習は、技術的な脆弱性に加えて、人的要素やプロセスに関連するリスクも評価範囲です。従って、必ずしも攻撃活動の成功を最終目標としません。
Blue Teamの構成について
一般的にBlue Teamの構成メンバーはSOCやCSIRTのメンバーに留まりません。CISOをはじめとする経営層や、サイバー脅威インテリジェンス(CTI)チーム、エンタープライズ・リスクマネジメントや事業継続計画(BCP)の担当者まで、あらゆる立場の人が関与します。特に昨今の2重脅迫型の脅威などは、運用や事業の継続に加えて、どのように対応したか社会的に注目される場合もあるため、経営層の判断も範囲に含めて備える必要があります。
期待効果を明確にする
では、ここからは特にRed Team演習を効果的に実施するために念頭に置くべきと考えていることを取り上げたいと思います。どのような活動にも言えることですが、期待する効果を実施前に明確にしておことが大切です。以下に3つほど例を挙げたいと思います。
期待効果例1:セキュリティのシステム/プロセス/人員の弱点を特定する
演習を通じて、組織のセキュリティシステムに存在する技術的および人的な弱点を特定します。
期待効果例2:攻撃シナリオの理解と対応能力評価を行い必要な改善策を見極める
演習を通じて、実際の攻撃シナリオに対する組織の対応能力を評価し、改善が必要な部分を見極めます。
期待効果例3:演習を通じたインシデント対応能力を向上させる
演習で組織のインシデント対応プロセスをテストし、迅速かつ効果的な対応ができるよう改善を促します。
他にも従業員の意識向上、コンプライアンスや規制を期待効果の視点に置いて演習を実施することもあると思いますが、何をやるか以前に、何のために実施するのか、期待する効果を明確に具体的にして判断基準も含めておくと良い効果が得られるはずです。
攻撃シナリオの選定
最後に簡単に攻撃シナリオについて考えてみたいと思います。期待効果を明確にした上で攻撃シナリオを選定しますが、念頭に置いている実在の攻撃グループが実際に使用する攻撃シナリオが候補になります。ただし、シナリオを検討する際に大切なことは、対象組織の環境を考慮してシナリオを作りこむことです。組織の環境に合わないシナリオで実施しても期待する効果が得られない可能性がありますので、実施時には組織の環境を踏まえたうえでRed Team演習を行うことが大切です。
まとめ
今回はセキュリティ対策状況の確認に関連する診断、テスト、演習を取り上げましたが、少しでも皆様の対策強化の参考になればと思っています。トレリックス(Trellix)のプロフェッショナルサービスがRed Team演習をお客様に提供する際は、演習のための演習にならないように心がけています。セキュリティ戦略など上流のコンサルティング、今回解説した様々な診断、評価、演習に加えて、インシデント対応支援など幅広いサービスの提供を通して得た知見を踏まえて、お客様の環境や状況を考慮して最適化し、本質的な課題解決を目的にサービスを提供しています。
著者:マーケティング本部 ソリューションマーケティング