サイバーセキュリティのレッドチームとは

2023年11月28日 www.soliton.co.jp より移設

サイバー攻撃を防ぐには、攻撃者がどのような手段で攻撃を仕掛けてくるかを知るのが大切です。そんなサイバー攻撃対策で注目されつつあるのが「レッドチーム演習」です。ここでは、レッドチームの概要やレッドチーム演習について説明します。

サイバーセキュリティのレッドチームとは

レッドチームとは、組織の効率性を改善するための独立したチーム・グループのことです。サイバーセキュリティでは、敵対者の視点を持って企業・組織への攻撃計画を立案し、実際に攻撃を実践して、それに対し企業や組織が適切に対応できるか評価し、改善提案を行う独立したチームを指します。

サイバーセキュリティにおけるレッドチームは、これまで防御ばかり考えていた企業や組織にとっては、敵対者の視点で自らの脆弱性を知るための手段になります。実際に攻撃を受けて初めて分かる防御・対応策の改善点を経営層に報告し、実際の攻撃にも適切に対応するための適切な投資を行うなどの経営判断ができるように支援することを狙いとしています。サイバー攻撃に対して脆弱な状態にあるにも関わらず、これまで被害が無かったという理由だけで対策に投資できないなど、固定観念に囚われてなかなか問題を解決できないでいる企業や組織にとっては、特に有効な手段です。

レッドチーム演習の概要と流れ

レッドチーム演習は、演習の中で企業・組織に攻撃を仕掛け、攻撃に対して防御・対応が適切にできるかどうかを評価します。

レッドチーム演習も様々なやり方がありますが、標的型攻撃をシミュレーションする典型的な例として、初期調査、デリバリ、環境構築、権限奪取、調査、目標達成という流れで進めるケースを紹介します。

初期調査

レッドチームはまず、演習のターゲットである企業・組織、場合によってはその企業の製品について調査するところから始まります。初期調査では、実際に従業員を装ってビルに入館したり、電話でパスワードを尋ねたりといった「ソーシャルエンジニアリング」の手法も使って行われます。演習によってはSNSの調査も含まれ、ターゲットとする社員の絞り込みを行います。

デリバリ

初期調査を終えると、デリバリと言われる段階に移ります。デリバリでは、ターゲット社員にウイルスメールを送ったり、マルウェアを仕込んだUSBメモリを渡したりといった模擬攻撃を実施します。ウイルスメールを開封して感染したり、USBメモリを端末に挿して感染すると、ターゲットの端末の管理者権限を奪取し、外部から遠隔操作できる状態まで準備します。

環境構築

デリバリでターゲットの端末を遠隔操作できるようになったら、環境構築段階に入ります。ターゲットの端末から、ネットワークにある他の端末に感染したり、サーバーのID、パスワードなどを調査して攻撃準備を整えます。

権限奪取

サーバーやI D、パスワードなどの情報を取得したら、企業・組織のドメインの管理者権限の奪取を試みます。ドメインの管理者権限を入手することで、ドメイン全体の制御を掌握し、ドメイン上にあるすべての情報を取得できるようになります。

調査

ドメインの管理者権限を入手したら、ターゲットとする顧客情報や技術情報、機密情報といった重要なデータがどこにあるのかなどの調査を行います。

目標達成

レッドチーム演習では、この目的達成の段階まで行わない場合もありますが、徹底的に行う場合は実際にターゲットとする情報を窃取し、外部サーバーに送信するなどの情報流出を完了させるところまで実施します。

演習が終わったら、一連の攻撃内容や手順、それに対する防御・対応状況を評価し、報告会を開催してレビューします。報告には、問題点の指摘だけではなく、良かった点や改善案などが提示されることもあります。

レッドチーム演習とペネトレーションテストの違い

レッドチーム演習の他にもサイバー攻撃の模擬攻撃として行われるものには「ペネトレーションテスト」があります。ここではそれぞれの違いについて説明します。

レッドチーム演習

レッドチーム演習は、より実際の攻撃に近づけるため、多くの場合、企業・組織の防御担当者には知らされずに不意打ちで行われます。従業員を装って企業内に侵入したり、電話でパスワードを尋ねたりといったソーシャルエンジニアリングを含めた攻撃が行われ、入退室システムなどの物理セキュリティも評価されることがあります。
最終的なゴールをどこに設定するのかも演習によって異なりますが、実際に機密情報を窃取したり、システムの可用性に影響を与えるところまで徹底的に行う場合もあれば、業務を停止させないことを前提とし、情報窃取についても機密ではない特定のファイルをあらかじめ用意し、そのファイルの奪取を行うことで攻撃が成功したとみなす場合もあります。
このように、攻撃者の視点で創意工夫をもって企業・組織を攻撃されたらどうなるのかをシミュレーションできるのがレッドチーム演習であるといえます。

ペネトレーションテスト

ペネトレーションテストは、あくまで対象とするシステムへのテストのみを指すことがほとんどで、多くは企業内への侵入や電話での攻撃などのソーシャルエンジニアリングは行いません。レッドチーム演習のように不意打ちで実施することはなく、基本的にあらかじめテストシナリオが定められており、シナリオに従ったテストで特定システムの脆弱性を調査したり、攻撃耐性をチェックするといった目的で行われます。

上記のように、レッドチーム演習とペネトレーションテストは目的や範囲が異なります。

レッドチーム演習の効果

レッドチーム演習を行うことによる効果には、次のようなものがあります。
・より実際に近いサイバー攻撃を受けた場合の現在の防御・対応力を確認できる
・有事における組織の弱点をシステム面だけではなく運用面、体制面などさまざまな角度から把握でき、改善方法が明らかになる
・これまで大きなサイバー攻撃を受けたことがない企業・組織の経営層にも、実際にサイバー攻撃を受けた場合の被害を想像しやすくなり、対策を検討しやすくなる

レッドチーム演習の注意点

一方で、レッドチーム演習を行う際にはいくつか注意点があります。まず入念に計画を立案し、何をゴールとしてどこまで攻撃することにするのか、業務に影響するシステムの停止や重要データの破損などの事態を引き起こさなければ、ある程度自由に攻撃を行ってよいのか、あるいはシナリオ通りに行うのみとするのかなどを決め、関係者で合意を取る必要があります。不意打ちで行う場合もあれば、企業や組織の従業員に周知し、協力を得る場合もあるでしょう。
これらの準備や計画が不十分な場合、行き違いなどが発生して実際の業務に問題が生じる可能性があるため注意が必要です。

近年は、悪質で巧妙化したサイバー攻撃などのセキュリティ上の脅威が高まっています。顧客情報や技術情報などの重要データを守るためにも、企業や組織のセキュリティ対策は必要不可欠です。レッドチーム演習は、実際のサイバー攻撃に即した演習であり、どこに弱点があり、どのような対策が必要なのかを明確にできます。注意点もいくつかありますが、ぜひレッドチーム演習という対策も検討してみましょう。