疑似的サイバー攻撃で本番さながらの訓練、GMOサイバーセキュリティ byイエラエの「レッドチーム演習」

サイバーセキュリティ関連事業を展開するGMOサイバーセキュリティ byイエラエ(以下、イエラエ)は7月4日、サイバーセキュリティ診断サービス「GMOサイバーセキュリティ侵入テスト」の新メニューとして「レッドチーム演習」の提供を開始した。

ホワイトハッカーが疑似的なサイバー攻撃を行うレッドチーム演習は、ペネトレーションテストなどのサービスと何が違い、どのような効果が期待できるのか。イエラエでレッドチーム演習のプロジェクトマネジメントと実作業に携わる片岡玄太氏に、サービスの詳細について尋ねたところ、企業のサイバーセキュリティにおける課題も浮かび上がってきた。

サイバー攻撃に対する組織の耐性確認、強化を目的とした演習

レッドチーム演習とは、ホワイトハッカーが初期侵入から権限昇格、機密情報の奪取のような一連のサイバー攻撃を疑似的に行うことにより、サイバー攻撃に対する企業・組織の耐性を確認することを目的としたサービスだ。また、リアルに近いサイバー攻撃を体験することで、防衛能力の強化にもつながると片岡氏は説明する。

「イエラエが提供するレッドチーム演習では、イエラエのホワイトハッカーが『レッドチーム』となり、攻撃者と同じ条件や目線に立って、ゼロベースでのサイバー攻撃を依頼元企業に対して仕掛けます。これにより組織のセキュリティ耐性を評価します。

このとき、演習の実施を知っているのはごく一部の関係者のみであるため、組織内でサイバー防衛を担当するSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)といったチーム(ブルーチーム)が緊張感の中で、本番同様のインシデントにどれだけ対応できるかを確認し、訓練としても使うことができるサービスとなっています」(片岡氏)

実際にレッドチームが行う攻撃としては、「フィッシング」(送信者を詐称した電子メールを送付したり、偽のホームページへ接続させたりして、アカウント情報などを盗み出す行為)や、ウェブアプリケーションを対象とした攻撃など、一般的によく知られるサイバー攻撃だけではないと片岡氏はいう。

「フィッシングやウェブアプリケーションへの攻撃に対策を行う組織は多いですが、実際の攻撃者は、必ずしもその部分を狙うわけではありません。オフィスの付近からWi-Fiに接続してもいいわけですし、そもそも物理的に侵入できて端末を盗めれば、そちらの方が手っ取り早いかもしれないのです。その辺も含めてゼロベースで考え、何が攻撃対象になり得るのか、どこから攻めればバレずに攻撃ができるかを最初に調べて、攻撃方法を検討していきます」(片岡氏)

さまざまな攻撃手法を利用したレッドチーム侵入の例

また、ブルーチームは攻撃を検知することができた場合、被害状況の確認や、条件に応じた隔離、攻撃を受けたアカウントを利用する担当者への確認など、インシデント対応を行うのだが、その隙にもレッドチームが別の経路を使って攻撃を継続する。

ブルーチームによる検知・隔離後も別経路を利用して攻撃を継続するレッドチーム

「攻撃が検知されたとしても対処に時間がかかるのであれば、攻撃者としては目的の達成が可能な場合もあります。『検知できれば安全』と考える企業もありますが、検知できたうえで脅威を即座につぶせるかどうかも重要だと私は考えています。そういう意味でレッドチーム演習では、より実践的な訓練が可能です」(片岡氏)

レッドチーム演習のゴールは、企業にとってクリティカルなダメージとなる以下のような攻撃を設定することが多い。、
・データベースやファイルサーバから顧客の個人情報といった機密情報の奪取
・企業が提供するプロダクトの管理コンソールへのアクセス
・論理分離されたセグメントへのアクセス

ゴールを達成する手法も、あらゆる手だてを考えると片岡氏は言う。

「たとえば機密情報にしても、従業員の誰かが持ち出してローカルへコピーしているならデータベースやファイルサーバにアクセスする必要はないですし、受け渡しにUSBメモリを使用しているならそれを盗み出すということでもいいわけです。あるいはファイルをゴミ箱に捨てていて完全に削除していないのであれば、ゴミ箱の中をあさるだけでもいい。攻撃者目線で考えれば過程よりも結果が重要です」(片岡氏)
23 件

ムコハタワカコ

編集・ライター
書店員からIT系出版社、ウェブ制作会社取締役、米系インターネットメディアを経て独立。現在は編集・執筆業。IT関連のプロダクト紹介や経営者インタビューを中心に執筆活動を行う。企業のデジタルトランスフォーメーション(DX)、組織づくりや採用活動などにも注目している。

ranking

  • 1
    サムネイル

    社会人が学べるチャンスは増加中! コエテコ総研が『社会人のスクール選び』に関する調査を公表

  • 2
    サムネイル

    お風呂タイムが充実!100円ショップで買える防滴 Bluetooth スピーカー3種を比べてみた

  • 3
    サムネイル

    「ミス指摘」のポイント、部下の心を傷つけず、「教えてもらってよかった」と思われるには?

  • 4
    サムネイル

    ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた

  • 5
    サムネイル

    兵庫県たつの市が自治体DXに向けて電子契約サービス「電子印鑑GMOサイン」を導入

  • 1
    サムネイル

    「ミス指摘」のポイント、部下の心を傷つけず、「教えてもらってよかった」と思われるには?

  • 2
    サムネイル

    ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた

  • 3
    サムネイル

    お風呂タイムが充実!100円ショップで買える防滴 Bluetooth スピーカー3種を比べてみた

  • 4
    サムネイル

    社会人が学べるチャンスは増加中! コエテコ総研が『社会人のスクール選び』に関する調査を公表

  • 5
    サムネイル

    アプリレビューから運営の回答まで“おじさん構文”で大盛り上がり!「おじさん構文ジェネレーター」

  • 1
    サムネイル

    アプリレビューから運営の回答まで“おじさん構文”で大盛り上がり!「おじさん構文ジェネレーター」

  • 2
    サムネイル

    「ミス指摘」のポイント、部下の心を傷つけず、「教えてもらってよかった」と思われるには?

  • 3
    サムネイル

    街に増える個性派書店──私が小さな本屋「葉々社」を開いた理由

  • 4
    サムネイル

    小室哲哉、最新アルバム未収録デモを「Adam」で販売──ファンも巻き込む音楽の新たな“実験”

  • 5
    サムネイル

    ソニーのゲームサブスク「PlayStation Plus」エクストラとプレミアム──どう違う? 選ぶならどっち?

internet for you.