レッドチーム

孫子の言葉に「彼を知り己を知れば百戦殆ふからず、彼を知らずして己を知れば一勝一負す、彼を知らず己を知らざれば戦ふ毎に必ず殆ふし」がある。サイバーセキュリティにおけるレッドチーム (Red team) とは、敵対した役割のもとに企業や組織へのセキュリティ攻撃の実行、企業や組織がそれらの攻撃に適切に対応できるかの評価、及び改善提案を行う独立したチームを指す。元々は軍用語であり、公式の基本方針や文書についてはほとんど存在しないようである[1]。レッドチーム(演習)は己を知るための手段であり、攻撃を通して得られた情報を経営層に提示し、適切な経営判断ができるよう支援することを狙いとする。

レッドチームは実践的な攻撃や評価を行うチームであるが、防御側のチームはブルーチーム(Blue Team)と呼ばれる。CSIRTやSOCが該当する。また、これらのチームの関連用語としてホワイトチーム(White Team)やパープルチーム(Purple Team)がある。ホワイトチームは、レッドチームとブルーチームの戦いにおける審判役であり、レッドチームが予め設定された攻撃範囲を超えた行動をしていないかをチェックするための監視役である[2]。パープルチームは、レッドチームとブルーチームの機能の両方を併せ持つチームで、その目的は両チームの効果を最大化させることにある[3]。レッドチームとブルーチームの双方の情報を適宜片方のチームに与えて演習の効果の最大化を図る。

通常、レッドチームはCISO(Chief Information Security Officer)直属であるが、現場(ブルーチーム)の実行動・対応を観測するためにレッドチームの攻撃内容が事前に知らされるのはごく限られたメンバーのみとなる。そのため、演習時の現場の混乱を誘発する可能性が高い、限られた情報しか持っていない現場にとっては何が起こったのか把握できず演習で指摘された問題点を組織内に反映できない、同じ攻撃が何度も通用してしまうなどの問題点も存在する[4]。そこでパーブルチームは必要な情報を適宜、レッド、ブルーのメンバーに与える。これにより、レッドチームは防御者の視点を踏まえた新たな攻撃が可能になる、ブルーチームは現場の混乱を最小限に抑えることができる、演習後に攻撃者の対策を実施した体制の強化も可能となる等のメリットが期待できる[4]

パーブルチームを伴った演習は、レッドチームが攻撃側として参加する点は変わらないが、予め防御側と綿密な意識合わせや情報共有を行った上で攻撃シナリオや評価基準を策定し“合同演習”として実施することも可能となり、インシデント対応能力やプロセスの成熟度の評価、教育にも効果が見込める。

ペネトレーションテストとの違い

ペネトレーションテスト(侵入テスト)とは、ネットワークに接続されているコンピュータシステムに対し、既知の技術を用いて実際に侵入を試みることで、狭義にはシステムに脆弱性がないかどうかテストする手法である。対象のシステムに脆弱性がないかどうか確認し、明らかにすることが目的である。

一方、レッドチーム演習は、システムの脆弱性を探し出し、実際に攻撃を行い、組織のセキュリティ体制と機能の評価及び改善提案を行うのが目的である[5]。攻撃プロセスは、サイバーキルチェーンの各項目に対応付けることができる。

具体的なプロセスは、①偵察活動(攻撃できる脆弱性がないかどうか調査)、②武器化(攻撃に用いるマルウェアやツールを準備)、③運搬(メール等を用いてマルウェアを対象とする組織に運搬)、④感染(マルウエアに感染させる)、⑤インストール(指令サーバからの命令を実行するツールやバックドアを端末にインストールする)、⑥遠隔操作(遠隔操作により、権限昇格、感染拡大を行いサーバの機密情報へのアクセス権限を取得する)、⑦目的の実行(機密情報等を持ち出し、削除、暗号化などを実施する)からなる。また、各プロセスにおけるブルーチームの実行動・対応を記録し、評価、改善提案を行う。レッドチーム演習はモノ(設備)の脆弱性や人の脆弱性への攻撃も含む点も、ペネトレーションテストとは異なる点である。

業界の動きと事例

日本でも2016年以降、電力・エネルギー・金融を含む重要インフラ企業を中心に、レッドチーム演習が実施されている。例えば中部電力では2016年G7伊勢志摩サミットの開催を受けてセキュリティ対策の強化を求められ、同社のCSIRT、OA系システム管理者、OT系システム管理者、危機管理メンバー、広報チーム、そしてPwC社が構成メンバーとなりレッドチーム演習を実施した [6]。また金融庁は、2018年10月の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の改訂で、「脅威ベースのペネトレーションテスト(TLPT:Threat-Led Penetration Test)の実施」を大手金融機関に対し施策として推進していくことを公表した[7]。TLPTはレッドチーム演習と同義であり、大手金融機関への普及が望まれている[8]

レッドチーム演習の実施においては外部レッドチームを利用する場合と、自ら組織内にレッドチームを構築し演習を行うケースがある。日本国内における外部レッドチームサービスを提供する企業の例としては、Secure Works Japan、Cisco、IBM X-Force Red、PwC、KPMG、デロイトトーマツ、FireEye(Mandiant)、LAC、スプラウト、GSX(グローバルセキュリティエキスパート)、NRIセキュアテクノロジーズ等があるが、その多くは欧米ベンダーの日本法人が国内市場向けにサービス提供している。国内ベンダーのサービス内容は標的型攻撃のみを対象としていることが多いが、欧米ベンダーの場合はモノ(設備)への攻撃やソーシャルエンジニアリング攻撃もカバーしている。実施する攻撃の範囲によって、必要となる要員数、稼働の変動も多いことから、その価格や期間には大きなばらつきがある。利用する外部レッドチームの実力によって演習の効果は大きく変わってくるが、外部レッドチームを利用するメリットとしては、早期に演習の実施が可能なこと、外部ベンダーの知見や経験を社内のセキュリティ強化に活用できること、演習の知識や経験を組織内レッドチームの構築に活用できるなどがある。

組織内レッドチームの例としては、Microsoft Enterprise Cloud Red Teaming[9]、Facebook[10]等の事例がある。Microsoftの事例では、攻撃時の社内の不要な混乱を避けるために、明確に行動規範や交戦規定を定義し、演習を実施している。例えば、Microsoftレッドチームの行動規範は次の5つの主要な指針からなる。①意図的にカスタマーサービスレベルアグリーメント(SLA)への影響またはダウンタイムを引き起こさない、②顧客データに意図的にアクセスまたは変更しない、③意図的に破壊的な行動をしない、④ 運用中のセキュリティ保護を弱めない、⑤脆弱性やその他の重要な情報を保護し、知る必要のある人のみに共有する。組織内レッドチームは、自社のコアビジネスに対して競争力を強めるための取り組みになるが、社内レッドチームを持つことの社内合意を獲得しやすい事業特性と高いインテグリティを理念とする組織風土が備わっていることが前提条件となることを忘れてはならない。

[1] ミカ・ゼンコ、関美和(訳)、『レッドチーム思考 組織の中に「最後の反対者」を飼う』、文藝春秋、2016

[2] https://csrc.nist.gov/glossary/term/White-Team

[3] https://danielmiessler.com/study/red-blue-purple-teams/

[4] https://www.rsaconference.com/writable/presentations/file_upload/air-w02-the-rise-of-the-purple-team.pdf

[5] https://www.csoonline.com/article/ 2122440/disaster-recovery/emergency-preparedness-red-team-versus-blue-team-how-to-run-an-effective-simulation.html

[6] https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/13.html

[7] https://www.fsa.go.jp/news/30/ 20181019/cyber-policy.pdf

[8] https://home.kpmg/jp/ja/home/insights/2019/02/tlpt-20190215.html

[9] https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf

[10] https://arstechnica.com/information-technology/2013/02/at-facebook-zero-day-exploits-backdoor-code-bring-war-games-drill-to-life/

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/