サイバー攻撃に関しては、備えておくことが最善です。組織の機密情報は悪意のあるユーザーにとって価値があり、攻撃者はシステムを悪用するためにどのような労力も惜しみません。レッドチーミングは、現実世界の手法をシミュレートすることで、サイバーセキュリティチームが巧妙な攻撃に備えるのに役立ち、これにより、チームはシステムの脆弱性を特定し、対応方法を実践できます。

セキュリティチームにレッドチームテストが必要な理由

レッドチームテストでは、倫理的ハッキングを使用して、ソーシャルエンジニアリング攻撃に使用されるような現実世界の手法を使用する組織のセキュリティシステムへの侵害を特定します。レッドチーミングは、組織のセキュリティチームであるブルーチームに攻撃者のチームであるレッドチームを対抗させるため、ペネトレーションテスト（侵入テスト）を超えるものです。レッドチームは通常、高度なトレーニングを受けたセキュリティ専門家で構成され、環境を侵害するための現実世界の戦術を理解しています。組織は、このシミュレーションから得られる情報を使用して、セキュリティ防御の弱点を修正し、セキュリティポスチャを改善することができます。

レッドチームテストは、組織が使用するすべてのセキュリティコントロールの強度を徹底的に分析することで、企業を支援できます。セキュリティシステムの理論上の能力に頼るのではなく、実際にどの程度対応できるかを理解することができます。レッドチームテストでは、テクノロジーに限定して潜在的な侵害領域を特定するわけではなく、次のあらゆる領域で、セキュリティの脆弱性を特定できます。

• テクノロジー：サイバーセキュリティの専門家が、ハッキング戦略を使用して、ネットワーク、アプリケーション、ルーター、およびその他のタイプのテクノロジーに関連するリスク領域を特定します。
• 人的リソース：レッドチームテストでは、スタッフ、独立の契約業者、ビジネスパートナーなどの人的リソースに関連する脆弱性を明らかにできます。InfoSec Instituteによると、サイバーセキュリティ攻撃の推定6%から28%は、現在または過去の従業員の助けを借りて発生しています。
• インフラストラクチャ：レッドチームテストでは、オフィス、データセンター、データウェアハウスへのアクセスなど、インフラストラクチャのセキュリティに関連する脆弱性を明らかにできます。

セキュリティの脅威は常に進化しており、攻撃の被害に遭うと損害が大きいため、レッドチームテストを使用する必要があります。International Business Machines Corporationの「Cost of a Data Breach Report」によると、2021年のデータ侵害により、企業は400万米ドルを超える損害を被りました。このコストは、同社による年次レポートの発行開始以来、1年間に記録されたものとしては最高額となっています。レッドチームテストは、ギャップを評価し、損害の大きいデータ侵害を回避するためにどのように適応する必要があるかを理解するのに役立ちます。

レッドチームテストが適している対象

戦術とテクノロジーは変化するため、定期的なエンドポイントセキュリティのテストが重要になります。ペネトレーションテストとレッドチームテストはどちらも、改善すべき領域に関する貴重なインサイトを提供します。ただし、企業がその過程のどの段階にあるかによって、どちらの戦略が適しているかが異なる場合があります。

一般的には、組織の脆弱性をより全般的に把握できるため、セキュリティインフラストラクチャが新しい場合ペネトレーションテスト（侵入テスト）を使用する必要があります。侵入テストでは、テスターがシステムのさまざまな領域への侵入を試行することで、脆弱性の包括的なリストを作成できます。侵入テストは通常、1週間から2週間継続します。

レッドチームテストは、特定のターゲット領域における詳細な分析を提供するため、成熟したセキュリティシステムを持つ組織にとってより有益です。目標は、悪意のあるユーザーがどこまで脆弱性を悪用し、損害を引き起こす可能性があるかを判断することです。レッドチームテストでは、テスターは悪意のあるユーザーのように振る舞い、脆弱性を悪用しつつ検知を免れようとします。レッドチームテストは、約3週間から4週間継続する傾向があり、ブルーチームに防御側の戦術を実践する機会を与えます。

レッドチームテストの欠点

レッドチームテストの2つの主要な欠点は、カバレッジとコストです。レッドチームテストでのチームメンバーの主な目的は機密情報にアクセスすることですが、テストは包括的ではありません。ペネトレーションテストをまだ完了していない場合は、レッドチームテストを使用しないでください。また、レッドチームテストは、ペネトレーションテストよりもコストがかかる傾向があります。既知の脆弱性を修正するほうがセキュリティ予算をより有効に使用できる場合は、レッドチームテストを使用しないことを選択する可能性もあります。

レッドチームテストの準備

レッドチームの運用を最大限に活用するには、組織に準備が必要です。組織は、セキュリティシステムをあらかじめ十分に理解しておく必要があり、既存の脆弱性に対処しておく必要があります。その後、テストが必要な特定の領域を特定しておくと有用です。例えば、特定のサーバーに、特に機密性の高い情報が存在するとします。この懸念事項についてレッドチームと話し合うことで、レッドチーム演習中に特定のターゲットに関する情報収集と戦略化に集中できます。

効果的なレッドチームの構築方法

レッドチームは、攻撃者に非常によく似たチームメンバーで構成する必要があります。つまり、チームは経験豊富で技術に熟達し、創造性を備えている必要があります。レッドチームにふさわしいメンバーを選ぶ際には、次の経験を考慮します。

• ソフトウェア開発スキル、およびセキュリティシステムに勝るカスタムツールを開発する能力
• ペネトレーションテストの経験、および検知を回避するためのセキュリティシステムの仕組みの理解
• ソーシャルエンジニアリングスキル、および機密情報を共有するようにユーザーを誘導する方法の理解

レッドチームメンバーを選択したら、レッドチームエンゲージメントを計画します。次のすべてのフェーズは、効果的なレッドチームテストの要素であり、チームが体系的に連携してセキュリティシステムをテストするのに役立ちます。

• 情報収集フェーズ：この最初のフェーズでは、レッドチームのメンバーが、スタッフ、施設、セキュリティコントロールなど、ビジネスに関する情報を得るために、積極的な偵察を行います。
• 攻撃の計画と実行のフェーズ：次に、レッドチームは、連携して潜在的な攻撃パスを計画します。チームは、検出されたあらゆる脆弱性を悪用してシステムへのアクセスを試みます。
• レポート作成と修復のフェーズ：最後のステップは、レッドチーム評価です。このフェーズで、チームは、攻撃を再現するために使用されるステップ、およびリスクを修復する方法に関するアドバイスをレポートします。

人気のあるレッドチームツールが多数あり、これによりチームメンバーは、テクノロジーを使用してすべてのフェーズを入念に進めることができます。例えば、チームが脆弱性をスキャンし、公開データソースから情報を収集して偵察を行って、フィッシングページを作成するなどして攻撃を実行するのに役立つオープンソースツールがあります。すべてのレッドチームメンバーは、攻撃者と同じ方法を使用してテストできるように、さまざまなツールに精通している必要があります。

一般的なレッドチームの戦術とは

レッドチーミングは、多面的なサイバー攻撃をシミュレートし、いくつかの異なる戦術を使用して、システムへのアクセスを試みます。最も一般的なレッドチーミングの戦術を見てみましょう。

• Webアプリケーションのペネトレーションテストにより、Webアプリケーションの設計と設定における弱点を探します。これは、クロスサイトリクエストフォージェリなどの悪意のある手法を使用してアクセスポイントを取得することで機能します。
• ネットワークペネトレーションテストにより、ネットワークまたはシステムにおける弱点を探します。これは、ワイヤレスネットワーク上のオープンポートなどのアクセスポイントを探すことで機能します。
• 物理的なペネトレーションテストにより、物理的なセキュリティコントロールにおける弱点を探します。これは、物理的なキャンパスへのアクセスの獲得を試みることで機能します。例えば、レッドチームメンバーが、バッジを付けた従業員の後について行き、オフィスのロックされた領域にアクセスを試みることができます。
• ソーシャルエンジニアリング戦術は、人的リソースを誘導し、操作することを目的としています。これは、フィッシングや賄賂などの戦術を使用し、システムに関する知識を持つユーザーから、認証情報などの機密情報の取得を試みることで機能します。

レッドチームエンゲージメントでは、通常、さまざまな戦術を組み合わせて、セキュリティシステムの強度を徹底的にテストします。このレッドチーム戦術の多面的なアプローチを通じて、企業の強みと弱点について多くを学ぶことができます。テクノロジー設定の脆弱性だけでなく、スタッフのトレーニングが必要な領域も特定できます。スタッフの大部分がフィッシングEメールのリンクをクリックした場合は、悪意のあるEメールリクエストに関するトレーニングコースを義務付けることを検討してください。

標的型攻撃に対して防御するようサイバーセキュリティチームを備えるには、チーム演習のシミュレートから開始できます。この攻撃シミュレーションにより、一般的な戦術および最適な対応ツールについて対応チームを教育できます。例えば、悪意あるユーザーは、これまで隠蔽サービスを使用して検知を回避してきましたが、現在では、企業も防御のために同じツールを使用できます。攻撃に備えるための最新の戦術を常に把握し、ツールセットを最大限に活用することが重要です。

エミュレーション演習を開始する方法

レッドチーミングは、組織がセキュリティシステムの強度をテストするための高度で効果的な方法です。レッドチーミングをエンドポイントセキュリティや脅威ハンティングなどの他のセキュリティ対策と併用すると、潜在的な攻撃者から組織を確実に保護するのに役立ちます。

CrowdStrike Servicesチームは、標的型攻撃を受けた場合の対応戦略を開始して準備するのに役立つ、攻撃者エミュレーション演習を提供しています。CrowdStrike Servicesは、お客様の組織に特化したキャンペーンを策定します。これにより、実際の侵害の影響を被ることなく、現実世界の攻撃の方法と影響をシミュレートできます。その後、システムが成熟し、将来のインシデントに備えることができるように、ビジネスでプロアクティブに変更を行うことができます。CrowdStrike Servicesがビジネスに提供可能な内容の詳細については、お客様お問い合わせフォームから情報をリクエストしてください。