サイバー攻撃を防ぐためには、「攻撃者が何を考え、どのように行動するのか」ということを知ることが大切です。最近、企業の間で注目が広がりつつある「レッドチーム演習」とは、実戦に即した攻撃を模擬的に行うことによって、コンピュータやネットワークなどの脆弱性をテストし、より強固な防御体制を確立させるためのものです。
今回は、こうした「レッドチーム演習」について、具体的にどういったもので、どのような効果があるのか見ていきましょう。
レッドチーム演習とは
サイバー犯罪の手口は、日々急速に進化し変化し続けています。そうした中で、攻撃に対して適切に防御するためには、「攻撃者が何を考え、どのように行動するのか」を把握することが欠かせません。
レッドチーム演習は、実際に演習の中で自社に攻撃を仕掛けて、攻撃に対して適切な対応と防御ができるかどうかといった内容で行われます。これによって、具体的に攻撃がどういうもので、自社の持つ弱点がどこにあり、どういった対策をすべきなのかといったことを知ることができるのです。
レッドチーム演習の内容
具体的にレッドチーム演習とはどういった内容で行うのでしょうか。以下で、実際の流れを追いかけてみましょう。
1. 初期調査
演習のターゲットとなる企業を徹底調査するところからレッドチーム演習が始まります。この調査では、実際に従業員のふりをしてビルに入館したり、電話をかけてパスワードなどを聞いてみたりするなどのソーシャルエンジニアリングの手法も使われます。また、場合によってはSNSを調査するといったことも行われます。ここではターゲットとする社員の絞り込みも行われます。
2. デリバリ
初期調査が終わると、「デリバリ」と呼ばれる段階に移ります。この段階では、実際にターゲットに向けてウィルスメールを送る、マルウェアの仕込まれたUSBメモリを提供するといった模擬攻撃を行います。これによって、ターゲットのパソコンの管理権限を取得し、外部から侵入可能な状態とするところまで持っていきます。
3. 基礎構築
ターゲットのパソコンの管理権限を取得したら、次にそのパソコンをトリガーにしてネットワークの他のサーバーやパソコンのIDなどを調べて攻撃する準備を整えていきます。これが「基礎構築」と呼ばれる段階です。
4. 権限昇格
「基礎構築」の段階でのサーバー等のIDやパスワードを取得すると、次の段階ではドメイン全体の管理権限の奪取を試みます。これが「権限昇格」と言われる段階で、管理権限の取得を行うことで企業のドメイン上にあるすべての情報が取得できるようになります。
5. 調査
権限昇格によってドメイン全体の管理権限を取得し全てのデータにアクセスできるようになると、今度は顧客情報や技術情報といった機密情報を奪取するという手順を行います。
6. 目標達成
最後に、ここまでの一連の流れでの攻撃の詳細と、攻撃を行なった際の企業側の対応を報告書にまとめてレッドチーム演習は終わりとなります。
レッドチーム演習とペネトレーションテストの違い
実際のサイバー攻撃に即した形で行われるテストには、ペネトレーションテストというものもあります。レッドチーム演習とペネトレーションテストとの違いは以下のようになっています。
レッドチーム演習 | ペネトレーションテスト | |
---|---|---|
内容 | 企業内に実際に人が入ってみる、電話をかけるといった物理的なテストも行う | あくまでシステム上でのテストのみ |
対象 | システムの脆弱性だけでなく、人や入退室など企業の物理的な強さもシナリオに基づいて評価する | コンピュータシステムの脆弱性のみで、システムがどれだけ攻撃に対して強固であるかという観点でのテストを行う |
このように、レッドチーム演習とペネトレーションテストとの違いは、対象となる範囲の広さにあります。
レッドチーム演習のメリット
サイバーセキュリティについてレッドチーム演習を行なうことは、以下のようなメリットがあります。
- 実際の攻撃に対して組織としての対応力の現状を把握できる
- 組織の弱点を把握し、適切な対応に結びつけることができる
- 実際のサイバー攻撃とはどういったものか知ることができる
レッドチーム演習のデメリット
逆に演習を行うことで、以下のような点はデメリットであると言えます。
- 実際の重要なデータやシステムの停止、破損を防ぐためにしっかりとした計画が必要
- 実施に際して組織内の幅広い合意を得る必要がある
- 比較的コストがかかる
まとめ
年々巧妙化かつ悪質なものとなっていくサイバー攻撃などのセキュリティ上の脅威が高まっている一方で、個人情報や顧客情報などさまざまな高いレベルの機密情報を管理する必要がある企業にとっては、組織のセキュリテイレベルをより確実なものとしておくことは不可欠です。
そうしたニーズの中で注目が高まっているのが、今回紹介した「レッドチーム演習」です。レッドチーム演習では、従来のペネトレーションテストなどとは異なり、システムの脆弱性だけでなく人や物理的な建物などさまざまな観点から実際に即した模擬的な攻撃を行う中で、どこに弱点があり、どういった対策が必要なのかを明確にしていきます。
レッドチーム演習は、今回紹介したようにデメリットもありますが、非常に大きな効果が期待できるテストです。