サイバーセキュリティ関連事業を展開するGMOサイバーセキュリティ byイエラエ(以下、イエラエ)は7月4日、サイバーセキュリティ診断サービス「GMOサイバーセキュリティ侵入テスト」の新メニューとして「レッドチーム演習」の提供を開始した。
ホワイトハッカーが疑似的なサイバー攻撃を行うレッドチーム演習は、ペネトレーションテストなどのサービスと何が違い、どのような効果が期待できるのか。イエラエでレッドチーム演習のプロジェクトマネジメントと実作業に携わる片岡玄太氏に、サービスの詳細について尋ねたところ、企業のサイバーセキュリティにおける課題も浮かび上がってきた。
ホワイトハッカーが疑似的なサイバー攻撃を行うレッドチーム演習は、ペネトレーションテストなどのサービスと何が違い、どのような効果が期待できるのか。イエラエでレッドチーム演習のプロジェクトマネジメントと実作業に携わる片岡玄太氏に、サービスの詳細について尋ねたところ、企業のサイバーセキュリティにおける課題も浮かび上がってきた。
サイバー攻撃に対する組織の耐性確認、強化を目的とした演習
レッドチーム演習とは、ホワイトハッカーが初期侵入から権限昇格、機密情報の奪取のような一連のサイバー攻撃を疑似的に行うことにより、サイバー攻撃に対する企業・組織の耐性を確認することを目的としたサービスだ。また、リアルに近いサイバー攻撃を体験することで、防衛能力の強化にもつながると片岡氏は説明する。
「イエラエが提供するレッドチーム演習では、イエラエのホワイトハッカーが『レッドチーム』となり、攻撃者と同じ条件や目線に立って、ゼロベースでのサイバー攻撃を依頼元企業に対して仕掛けます。これにより組織のセキュリティ耐性を評価します。
このとき、演習の実施を知っているのはごく一部の関係者のみであるため、組織内でサイバー防衛を担当するSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)といったチーム(ブルーチーム)が緊張感の中で、本番同様のインシデントにどれだけ対応できるかを確認し、訓練としても使うことができるサービスとなっています」(片岡氏)
実際にレッドチームが行う攻撃としては、「フィッシング」(送信者を詐称した電子メールを送付したり、偽のホームページへ接続させたりして、アカウント情報などを盗み出す行為)や、ウェブアプリケーションを対象とした攻撃など、一般的によく知られるサイバー攻撃だけではないと片岡氏はいう。
「フィッシングやウェブアプリケーションへの攻撃に対策を行う組織は多いですが、実際の攻撃者は、必ずしもその部分を狙うわけではありません。オフィスの付近からWi-Fiに接続してもいいわけですし、そもそも物理的に侵入できて端末を盗めれば、そちらの方が手っ取り早いかもしれないのです。その辺も含めてゼロベースで考え、何が攻撃対象になり得るのか、どこから攻めればバレずに攻撃ができるかを最初に調べて、攻撃方法を検討していきます」(片岡氏)
「イエラエが提供するレッドチーム演習では、イエラエのホワイトハッカーが『レッドチーム』となり、攻撃者と同じ条件や目線に立って、ゼロベースでのサイバー攻撃を依頼元企業に対して仕掛けます。これにより組織のセキュリティ耐性を評価します。
このとき、演習の実施を知っているのはごく一部の関係者のみであるため、組織内でサイバー防衛を担当するSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)といったチーム(ブルーチーム)が緊張感の中で、本番同様のインシデントにどれだけ対応できるかを確認し、訓練としても使うことができるサービスとなっています」(片岡氏)
実際にレッドチームが行う攻撃としては、「フィッシング」(送信者を詐称した電子メールを送付したり、偽のホームページへ接続させたりして、アカウント情報などを盗み出す行為)や、ウェブアプリケーションを対象とした攻撃など、一般的によく知られるサイバー攻撃だけではないと片岡氏はいう。
「フィッシングやウェブアプリケーションへの攻撃に対策を行う組織は多いですが、実際の攻撃者は、必ずしもその部分を狙うわけではありません。オフィスの付近からWi-Fiに接続してもいいわけですし、そもそも物理的に侵入できて端末を盗めれば、そちらの方が手っ取り早いかもしれないのです。その辺も含めてゼロベースで考え、何が攻撃対象になり得るのか、どこから攻めればバレずに攻撃ができるかを最初に調べて、攻撃方法を検討していきます」(片岡氏)
さまざまな攻撃手法を利用したレッドチーム侵入の例
また、ブルーチームは攻撃を検知することができた場合、被害状況の確認や、条件に応じた隔離、攻撃を受けたアカウントを利用する担当者への確認など、インシデント対応を行うのだが、その隙にもレッドチームが別の経路を使って攻撃を継続する。
ブルーチームによる検知・隔離後も別経路を利用して攻撃を継続するレッドチーム
「攻撃が検知されたとしても対処に時間がかかるのであれば、攻撃者としては目的の達成が可能な場合もあります。『検知できれば安全』と考える企業もありますが、検知できたうえで脅威を即座につぶせるかどうかも重要だと私は考えています。そういう意味でレッドチーム演習では、より実践的な訓練が可能です」(片岡氏)
レッドチーム演習のゴールは、企業にとってクリティカルなダメージとなる以下のような攻撃を設定することが多い。、
・データベースやファイルサーバから顧客の個人情報といった機密情報の奪取
・企業が提供するプロダクトの管理コンソールへのアクセス
・論理分離されたセグメントへのアクセス
ゴールを達成する手法も、あらゆる手だてを考えると片岡氏は言う。
「たとえば機密情報にしても、従業員の誰かが持ち出してローカルへコピーしているならデータベースやファイルサーバにアクセスする必要はないですし、受け渡しにUSBメモリを使用しているならそれを盗み出すということでもいいわけです。あるいはファイルをゴミ箱に捨てていて完全に削除していないのであれば、ゴミ箱の中をあさるだけでもいい。攻撃者目線で考えれば過程よりも結果が重要です」(片岡氏)
レッドチーム演習のゴールは、企業にとってクリティカルなダメージとなる以下のような攻撃を設定することが多い。、
・データベースやファイルサーバから顧客の個人情報といった機密情報の奪取
・企業が提供するプロダクトの管理コンソールへのアクセス
・論理分離されたセグメントへのアクセス
ゴールを達成する手法も、あらゆる手だてを考えると片岡氏は言う。
「たとえば機密情報にしても、従業員の誰かが持ち出してローカルへコピーしているならデータベースやファイルサーバにアクセスする必要はないですし、受け渡しにUSBメモリを使用しているならそれを盗み出すということでもいいわけです。あるいはファイルをゴミ箱に捨てていて完全に削除していないのであれば、ゴミ箱の中をあさるだけでもいい。攻撃者目線で考えれば過程よりも結果が重要です」(片岡氏)
ムコハタワカコ
編集・ライター
書店員からIT系出版社、ウェブ制作会社取締役、米系インターネットメディアを経て独立。現在は編集・執筆業。IT関連のプロダクト紹介や経営者インタビューを中心に執筆活動を行う。企業のデジタルトランスフォーメーション(DX)、組織づくりや採用活動などにも注目している。
-
1
「聞く技術」は信頼度を高める──独立系書店店主が選ぶ「聞き上手」に...
-
2
「たこ焼き器」で作る“たこ焼き以外レシピ”は予想以上においしくて楽しい
-
3
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリー...
-
4
画像生成AIで思い通りの画像を作る!「BRAV5」を使いこなすプロ...
-
5
Googleの最上位AIモデル「Gemini Ultra」が登場!...
-
ブランド保護の専門家が解説!オンライン詐欺の罠を見抜く方法
-
GMOインターネットグループにサイバーセキュリティスタートアップのFlatt Securityが参画
-
学生向けソフトウェア開発競争イベント「DevSecOpsThon2024 at GMO kitaQ」を北九州市で開催! チーム対抗のAI開発に挑戦
-
GMOインターネットグループがセキュリティ・オペレーション・センターを用賀に開設
-
エンジニア・クリエイター向けカンファレンス「GMO Developers Day 2023」の映像アーカイブを公開
-
医療機器メーカー・医療機関向けサイバー攻撃対策支援「GMOサイバーセキュリティfor医療」を提供開始
-
1
「聞く技術」は信頼度を高める──独立系書店店主が選ぶ「聞き上手」になれる本5選
-
2
「たこ焼き器」で作る“たこ焼き以外レシピ”は予想以上においしくて楽しい
-
3
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた
-
4
画像生成AIで思い通りの画像を作る!「BRAV5」を使いこなすプロンプトのコツ
-
5
Googleの最上位AIモデル「Gemini Ultra」が登場!早速試してみました