サイバーセキュリティ関連事業を展開するGMOサイバーセキュリティ byイエラエ(以下、イエラエ)は7月4日、サイバーセキュリティ診断サービス「GMOサイバーセキュリティ侵入テスト」の新メニューとして「レッドチーム演習」の提供を開始した。
ホワイトハッカーが疑似的なサイバー攻撃を行うレッドチーム演習は、ペネトレーションテストなどのサービスと何が違い、どのような効果が期待できるのか。イエラエでレッドチーム演習のプロジェクトマネジメントと実作業に携わる片岡玄太氏に、サービスの詳細について尋ねたところ、企業のサイバーセキュリティにおける課題も浮かび上がってきた。
ホワイトハッカーが疑似的なサイバー攻撃を行うレッドチーム演習は、ペネトレーションテストなどのサービスと何が違い、どのような効果が期待できるのか。イエラエでレッドチーム演習のプロジェクトマネジメントと実作業に携わる片岡玄太氏に、サービスの詳細について尋ねたところ、企業のサイバーセキュリティにおける課題も浮かび上がってきた。
サイバー攻撃に対する組織の耐性確認、強化を目的とした演習
レッドチーム演習とは、ホワイトハッカーが初期侵入から権限昇格、機密情報の奪取のような一連のサイバー攻撃を疑似的に行うことにより、サイバー攻撃に対する企業・組織の耐性を確認することを目的としたサービスだ。また、リアルに近いサイバー攻撃を体験することで、防衛能力の強化にもつながると片岡氏は説明する。
「イエラエが提供するレッドチーム演習では、イエラエのホワイトハッカーが『レッドチーム』となり、攻撃者と同じ条件や目線に立って、ゼロベースでのサイバー攻撃を依頼元企業に対して仕掛けます。これにより組織のセキュリティ耐性を評価します。
このとき、演習の実施を知っているのはごく一部の関係者のみであるため、組織内でサイバー防衛を担当するSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)といったチーム(ブルーチーム)が緊張感の中で、本番同様のインシデントにどれだけ対応できるかを確認し、訓練としても使うことができるサービスとなっています」(片岡氏)
実際にレッドチームが行う攻撃としては、「フィッシング」(送信者を詐称した電子メールを送付したり、偽のホームページへ接続させたりして、アカウント情報などを盗み出す行為)や、ウェブアプリケーションを対象とした攻撃など、一般的によく知られるサイバー攻撃だけではないと片岡氏はいう。
「フィッシングやウェブアプリケーションへの攻撃に対策を行う組織は多いですが、実際の攻撃者は、必ずしもその部分を狙うわけではありません。オフィスの付近からWi-Fiに接続してもいいわけですし、そもそも物理的に侵入できて端末を盗めれば、そちらの方が手っ取り早いかもしれないのです。その辺も含めてゼロベースで考え、何が攻撃対象になり得るのか、どこから攻めればバレずに攻撃ができるかを最初に調べて、攻撃方法を検討していきます」(片岡氏)
「イエラエが提供するレッドチーム演習では、イエラエのホワイトハッカーが『レッドチーム』となり、攻撃者と同じ条件や目線に立って、ゼロベースでのサイバー攻撃を依頼元企業に対して仕掛けます。これにより組織のセキュリティ耐性を評価します。
このとき、演習の実施を知っているのはごく一部の関係者のみであるため、組織内でサイバー防衛を担当するSOC(セキュリティ・オペレーション・センター)やCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)といったチーム(ブルーチーム)が緊張感の中で、本番同様のインシデントにどれだけ対応できるかを確認し、訓練としても使うことができるサービスとなっています」(片岡氏)
実際にレッドチームが行う攻撃としては、「フィッシング」(送信者を詐称した電子メールを送付したり、偽のホームページへ接続させたりして、アカウント情報などを盗み出す行為)や、ウェブアプリケーションを対象とした攻撃など、一般的によく知られるサイバー攻撃だけではないと片岡氏はいう。
「フィッシングやウェブアプリケーションへの攻撃に対策を行う組織は多いですが、実際の攻撃者は、必ずしもその部分を狙うわけではありません。オフィスの付近からWi-Fiに接続してもいいわけですし、そもそも物理的に侵入できて端末を盗めれば、そちらの方が手っ取り早いかもしれないのです。その辺も含めてゼロベースで考え、何が攻撃対象になり得るのか、どこから攻めればバレずに攻撃ができるかを最初に調べて、攻撃方法を検討していきます」(片岡氏)
さまざまな攻撃手法を利用したレッドチーム侵入の例
また、ブルーチームは攻撃を検知することができた場合、被害状況の確認や、条件に応じた隔離、攻撃を受けたアカウントを利用する担当者への確認など、インシデント対応を行うのだが、その隙にもレッドチームが別の経路を使って攻撃を継続する。
ブルーチームによる検知・隔離後も別経路を利用して攻撃を継続するレッドチーム
「攻撃が検知されたとしても対処に時間がかかるのであれば、攻撃者としては目的の達成が可能な場合もあります。『検知できれば安全』と考える企業もありますが、検知できたうえで脅威を即座につぶせるかどうかも重要だと私は考えています。そういう意味でレッドチーム演習では、より実践的な訓練が可能です」(片岡氏)
レッドチーム演習のゴールは、企業にとってクリティカルなダメージとなる以下のような攻撃を設定することが多い。、
・データベースやファイルサーバから顧客の個人情報といった機密情報の奪取
・企業が提供するプロダクトの管理コンソールへのアクセス
・論理分離されたセグメントへのアクセス
ゴールを達成する手法も、あらゆる手だてを考えると片岡氏は言う。
「たとえば機密情報にしても、従業員の誰かが持ち出してローカルへコピーしているならデータベースやファイルサーバにアクセスする必要はないですし、受け渡しにUSBメモリを使用しているならそれを盗み出すということでもいいわけです。あるいはファイルをゴミ箱に捨てていて完全に削除していないのであれば、ゴミ箱の中をあさるだけでもいい。攻撃者目線で考えれば過程よりも結果が重要です」(片岡氏)
レッドチーム演習のゴールは、企業にとってクリティカルなダメージとなる以下のような攻撃を設定することが多い。、
・データベースやファイルサーバから顧客の個人情報といった機密情報の奪取
・企業が提供するプロダクトの管理コンソールへのアクセス
・論理分離されたセグメントへのアクセス
ゴールを達成する手法も、あらゆる手だてを考えると片岡氏は言う。
「たとえば機密情報にしても、従業員の誰かが持ち出してローカルへコピーしているならデータベースやファイルサーバにアクセスする必要はないですし、受け渡しにUSBメモリを使用しているならそれを盗み出すということでもいいわけです。あるいはファイルをゴミ箱に捨てていて完全に削除していないのであれば、ゴミ箱の中をあさるだけでもいい。攻撃者目線で考えれば過程よりも結果が重要です」(片岡氏)
ムコハタワカコ
編集・ライター
書店員からIT系出版社、ウェブ制作会社取締役、米系インターネットメディアを経て独立。現在は編集・執筆業。IT関連のプロダクト紹介や経営者インタビューを中心に執筆活動を行う。企業のデジタルトランスフォーメーション(DX)、組織づくりや採用活動などにも注目している。
-
1
大ベストセラーで人生をデザインしなおそう! ──独立系書店店主が選...
-
2
どの位まで聞こえるの?徹底性能比較!100円ショップの「防犯ブザー...
-
3
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリー...
-
4
今日からできる、「なんかいいな」と思わせる写真の撮り方
-
5
秋の夜長に!2024年、一気見したくなるNetflix映像作品7選
-
Flatt Security、TVアニメ『トリリオンゲーム』のIT・セキュリティ技術監修を担当
-
GMOイエラエ、世界最大級のサイバーセキュリティカンファレンス「DEF CON 32」の「Cloud Village CTF」で2年連続世界1位に
-
元インターポール 福森大喜氏のKEYNOTEほか全35セッション「GMO Developers Day」2024開催決定!
-
次世代モバイル通信規格Beyond 5G (6G)で安心安全な世界を!GMOサイバーセキュリティ byイエラエの挑戦
-
元インターポール サイバー犯罪捜査官の福森大喜氏、GMOサイバーセキュリティ byイエラエに参画
-
サイバーセキュリティの最新情報と実践的トレーニングを無料で学べる「GMOサイバーセキュリティカンファレンス IERAE DAYS 2024」が9月に渋谷で開催
-
1
大ベストセラーで人生をデザインしなおそう! ──独立系書店店主が選ぶ「幸せな自分時間を取り戻す」ための4冊
-
2
どの位まで聞こえるの?徹底性能比較!100円ショップの「防犯ブザー」&「ホイッスル」4選
-
3
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた
-
4
今日からできる、「なんかいいな」と思わせる写真の撮り方
-
5
秋の夜長に!2024年、一気見したくなるNetflix映像作品7選