サイバーセキュリティ関連事業を展開するGMOサイバーセキュリティ byイエラエ(以下イエラエ)は、自衛隊サイバー防衛隊に対するペネトレーションテスト(攻撃者と同じ視点でシステムに侵入(攻撃)するテスト)訓練を実施したと発表しました。
自衛隊サイバー防衛隊のスキル向上を目的として訓練を実施
自衛隊サイバー防衛隊は、自衛隊指揮通信システム隊のもとにあったサイバー防衛隊を再編成するかたちで、陸海空自衛隊の共同部隊として2022年3月17日に組織されました。主にサイバー攻撃などへの対処を行うとともに、防衛省・自衛隊の共通ネットワークである防衛情報通信基盤(DII)の管理・運用などを担います。部隊新編により、従来のサイバー防護機能に加え、実戦的な訓練環境を用いて自衛隊のサイバー関連部隊に対する訓練の企画や評価といった、訓練支援を行う機能が整備されました。
今回イエラエが実施したペネトレーションテスト訓練の目的は、その自衛隊サイバー防衛隊が所属する組織の情報システムへの模擬的なサイバー攻撃による耐性評価を適切に実施できるよう、スキルを向上させることです。
訓練では、Kali Linux(カーリーリナックス)が用いられました。Kali Linuxはデジタルフォレンジック(コンピュータ犯罪などにおけるデジタルデバイスに記録された情報の回収・分析調査)やペネトレーションテスト用に設計された、Linuxディストリビューションです。
訓練の概要は以下の通りです。
1. 攻撃ツールやテクニックなどオフェンシブセキュリティ(*1)に関する技術指導
2. ペネトレーションテスト関連資格の基準に基づく錬成
3. 外部でのCTF(Capure The Flag)形式(*2)での競技会およびハッキングコンテスト等において入賞した実績を有する者の技術指導
4. ペネトレーションテスト関連資格試験によるスキル評価
*1 オフェンシブセキュリティ:攻撃者の視点に立ってシステムの潜在的な脅威を発見し、対処するセキュリティ
*2 CTF(Capure The Flag)形式:制限時間内に課題の中に隠された旗(Flag、答え)を発見して情報セキュリティの技術を競う形式
今回イエラエが実施したペネトレーションテスト訓練の目的は、その自衛隊サイバー防衛隊が所属する組織の情報システムへの模擬的なサイバー攻撃による耐性評価を適切に実施できるよう、スキルを向上させることです。
訓練では、Kali Linux(カーリーリナックス)が用いられました。Kali Linuxはデジタルフォレンジック(コンピュータ犯罪などにおけるデジタルデバイスに記録された情報の回収・分析調査)やペネトレーションテスト用に設計された、Linuxディストリビューションです。
訓練の概要は以下の通りです。
1. 攻撃ツールやテクニックなどオフェンシブセキュリティ(*1)に関する技術指導
2. ペネトレーションテスト関連資格の基準に基づく錬成
3. 外部でのCTF(Capure The Flag)形式(*2)での競技会およびハッキングコンテスト等において入賞した実績を有する者の技術指導
4. ペネトレーションテスト関連資格試験によるスキル評価
*1 オフェンシブセキュリティ:攻撃者の視点に立ってシステムの潜在的な脅威を発見し、対処するセキュリティ
*2 CTF(Capure The Flag)形式:制限時間内に課題の中に隠された旗(Flag、答え)を発見して情報セキュリティの技術を競う形式
攻撃者視点のテストがリスク評価やセキュリティ意識の向上につながる
イエラエのペネトレーションテストでは、攻撃者と同じ視点のシナリオで侵入テストを行います。ペネトレーションテストは高度なセキュリティ技術と手法で、脅威に対しての対策状況を評価します。
イエラエのペネトレーションテスト概要
ペネトレーションテストの特徴には、
・現状のセキュリティ対策、体制のリスク評価ができること
・セキュリティ対策の投資判断がしやすく、ROI(投資対効果)を見積もりやすくなること
・社内のセキュリティに対する意識を高められること
といった点が挙げられます。
ペネストレーションテストでは、業務に影響がない範囲で疑似攻撃を行い、想定脅威を明らかにします。現在導入している防御機構で防げること、防げないことなどの結果から、現状のセキュリティ対策や体制面が、実際の攻撃でどの程度機能するかのリスク評価を判定します。
また、ゴール設定した機密情報までの到達が可能かを検証し、その脅威に対し正しく防御できているかを確認できます。想定脅威に対し、防御できている箇所や不足している箇所を確認できるため、組織にとって必要なセキュリティ対策コストを見積もりやすくなります。
さらに疑似攻撃により、ゴール設定した機密情報などに到達したという実証は、関係者への心理的なインパクトを残します。サイバーセキュリティにおいて、防御側よりも攻撃側が有利という事実の理解にもつながり、組織内のセキュリティに対する意識を高めます。
イエラエでは「誰もが犠牲にならない社会」をミッションに掲げ、国内最大規模のホワイトハッカーを組織するサイバーセキュリティのプロフェッショナル集団として事業を展開しています。今回の訓練実施について、「今後ともサイバーセキュリティに関する技術的な支援を通じ、日本のサイバーセキュリティ対策に協力していく」とコメントしています。
・現状のセキュリティ対策、体制のリスク評価ができること
・セキュリティ対策の投資判断がしやすく、ROI(投資対効果)を見積もりやすくなること
・社内のセキュリティに対する意識を高められること
といった点が挙げられます。
ペネストレーションテストでは、業務に影響がない範囲で疑似攻撃を行い、想定脅威を明らかにします。現在導入している防御機構で防げること、防げないことなどの結果から、現状のセキュリティ対策や体制面が、実際の攻撃でどの程度機能するかのリスク評価を判定します。
また、ゴール設定した機密情報までの到達が可能かを検証し、その脅威に対し正しく防御できているかを確認できます。想定脅威に対し、防御できている箇所や不足している箇所を確認できるため、組織にとって必要なセキュリティ対策コストを見積もりやすくなります。
さらに疑似攻撃により、ゴール設定した機密情報などに到達したという実証は、関係者への心理的なインパクトを残します。サイバーセキュリティにおいて、防御側よりも攻撃側が有利という事実の理解にもつながり、組織内のセキュリティに対する意識を高めます。
イエラエでは「誰もが犠牲にならない社会」をミッションに掲げ、国内最大規模のホワイトハッカーを組織するサイバーセキュリティのプロフェッショナル集団として事業を展開しています。今回の訓練実施について、「今後ともサイバーセキュリティに関する技術的な支援を通じ、日本のサイバーセキュリティ対策に協力していく」とコメントしています。
ムコハタワカコ
編集・ライター
書店員からIT系出版社、ウェブ制作会社取締役、米系インターネットメディアを経て独立。現在は編集・執筆業。IT関連のプロダクト紹介や経営者インタビューを中心に執筆活動を行う。企業のデジタルトランスフォーメーション(DX)、組織づくりや採用活動などにも注目している。