レッドチーム演習とは
目次
- レッドチーム演習とは
- ペネトレーションテストとどう違うのか
- 誰が何をするのか
- どう進むのか
- 演習実施のポイント3点
- 最後に
レッドチーム演習とは
対象組織やシステムを疑似的に攻撃するチーム(レッドチーム)と、その攻撃を検知・対処して防御するチーム(ブルーチーム)に分かれて実施する実践型サイバー演習の一種です。
攻撃側は、実際の攻撃者が用いるようなテクニックやシナリオに基づいて攻撃を実行します。アプリケーション、ネットワーク、端末といったコンピュータシステムのみに限らず、人や物理的要素も攻撃対象となります(人への攻撃例を挙げてみると、悪意あるサイトへの誘導やマルウェア添付のメール送信などがあります)。防御側は、それらの攻撃を検知して対処します。
なお、一部の人間を除いて、組織内への事前通知無しに演習を実行する場合が一般的です。その為、組織内の殆どの人からは本当に攻撃を仕掛けられているように見えるという特徴があります。
以下では、ペネトレーションテストとの違い、演習に係わるチームの役割、演習の進み方、演習利用のポイントを解説します。
ペネトレーションテストとどう違うのか
ペネトレーションテストはシステムへの侵入を試行し、脆弱性・弱点の悪用の可能性を検証するセキュリティテストのことです。その目的は、対象とするサーバやデータへの侵入・アクセス可否の検証です。
これに対して、レッドチーム演習の目的は攻撃耐性の強化にあります。実践的な攻撃シナリオとテクニックに基づいたレッドチームの活動を検知・処理することによって、攻撃への対応力向上に繋げます。
誰が何をするのか
レッドチーム演習では、役割に準じていくつかのチームを編成します。ここでは代表的なものを簡単に説明します。
-
レッドチーム
前述の通り、種々の攻撃テクニックを利用して実際のサイバー攻撃をシミュレートする役割のチームです。
-
ブルーチーム
こちらも前述の通り、組織の監視・防御体制に基づいてレッドチームからの攻撃を検知し対処していくチームです。
演習を通知しないこともあり、その場合は組織内の監視チームなどの人員が暗黙裡にブルーチームのメンバーに指定されていることになります。
-
ホワイトチーム
攻撃と防御のいずれにも属さず(どの色にも染まらず)に中立の立場から演習全体をジャッジするチームです。
その他、演習を円滑に進めるために関係各所の調整やロジスティクスについてマネージする役割もあります。
-
パープルチーム
攻撃側と防御側のパフォーマンスを改善して演習から得られる成果を向上させる役割のチームです。
赤(攻撃)と青(防御)に跨って活動し、双方のナレッジを所有するため「紫」となります。そのナレッジに基づいて両チームの活動を強化します。色はついていますが、中立寄りの立場です。
どう進むのか
演習におけるレッドチームの活動の基本的な流れを、例をつけて説明します。事前協議によって途中から、あるいは途中まで、という実施方法もあります。
-
1. 調査:まず、攻撃の最終目標となるシステムやデータ及び初期の侵入対象を定めます。レッドチームはOSINTやネットワークスキャンなどの外部からの偵察を行います。(例.
社員PCを初期の標的とし、ファイルサーバから顧客情報を盗み出す。)
-
2. アクセス試行:最初の標的が定まったら、攻撃を実施して組織ネットワークへのアクセスを得ます。(例.
C&Cサーバと通信するマルウェアを送付して社員PCへのアクセスを得る。)
-
3. 基盤構築:初期アクセスが得られたら、アクセス恒久化、攻撃用ツール導入、権限昇格などを行います。(例.
マルウェア起動をタスク化してアクセスを恒久化、種々のツールを入れた仮想化環境を構築して活動する。必要に応じて上位の権限を奪取する。)
-
4. 水平展開:1~3の流れ(調査→アクセス試行→基盤構築)を繰り返して目標に近づきます。(例.
乗っ取った社員PCから社内ネットワーク、ドメインなどの調査を実施。サーバへの侵入を繰り返して目標に接近する。)
-
5. 目標到達:対象とするデータを外部に持ち出します(※)。(例.
乗っ取った社員PCにデータを収集。必要なら分割圧縮するなどして外部のストレージに送信。)
※ データ改竄やシステム停止など対象組織に打撃を与える目標もあり得ますが、演習で行うには適当とは言えません。これに対して、ブルーチームは各段階で攻撃の検知やブロックをしていくことになります。
演習実施のポイント3点
-
1. 防御ポイントの突破に拘らない
現実の攻撃者は好きなだけ時間をとって事前準備と攻撃ができますが、演習で利用できる時間は限られます。
レッドチームに防御ポイントを突破させることに拘り過ぎると、演習で確認・評価できる点が限定的になり、費用対効果が悪くなります。必要に応じて、「突破した前提で次の段階に進む」方が実り多い演習になります。
-
2. ホワイトないしパープルチームの構築
演習をより効率的に効果的に進めるために、レッドチームとブルーチーム以外のチームを編成して時間のロスを減らすなどの工夫が望まれます。
上記のような、演習における不必要な拘りから自由になるためにも中立に近い立場から演習を管理するチームは有用であり、このような第三のチームの活動は演習成否に大きく関わってきます。
-
3. 監視体制を整える
レッドチーム演習を成功に導く最も重要なポイントは、演習組み立ての責任者が組織の監視・防御体制を事前に確認しておくことです。
攻撃の検知・ブロックのポイントや期待値を把握して、演習の結果と比較評価することで課題抽出し、攻撃耐性の強化に繋げる必要があるからです。言い方を変えると、監視体制が整っていないなどの理由でブルーチームがまともに活動できない環境では十分な演習効果が得られず、課題が抽出できないということです。
最後に
繰り返しになりますが、レッドチーム演習の主目的は攻撃耐性向上であり、その為の課題抽出が大事になります。課題抽出には防御活動の期待値と実際の差異を評価する必要があります。よって、先ずは監視体制を整えることが重要です。演習サービスの利用を検討する際には、先ずは監視体制の整備について相談を持つことを推奨します。
あなたの疑問を一緒に解決します!
解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。
2015年から株式会社SHIFTにてソフトウェアテストに従事。Webドライバーによるテスト自動化やNANDメモリのファームウェアテスト業務を経て2016年から株式会社SHIFT
SECURITYにてサイバーセキュリティ事業に従事。
同社ではWebアプリケーションやプラットフォームの脆弱性診断、ペネトレーションテスト、セキュリティコンサルティング、負荷試験と多岐に渡って事業を推進。また標準化エンジニアとして同社の診断・テストサービスの標準化に携わる。
