いまさら聞けないセキュリティ診断 第2回:TLPTとレッドチーム演習の違い
| 執筆者: | チーフコンサルタント 竹下 仁 |
近年のサイバー攻撃は、単なる脆弱性の悪用にとどまらず、標的型攻撃やサプライチェーン攻撃のように、特定の組織や個人を執拗に狙い、複数の手法を組み合わせるなど、より高度かつ巧妙になっています。また、攻撃の目的も、金銭や機密情報の窃取、業務妨害など多岐にわたります。
従来のセキュリティ対策は、既知の脆弱性を網羅的に診断したり、一般的な侵入テストを行ったりすることが中心でした。しかし、これらの手法だけでは、高度な脅威に対する組織全体の対応能力を十分に評価することが難しくなってきています。
このような背景から、より実践的で包括的な評価手法として脅威ベースのペネトレーションテストであるTLPT(Threat-Led Penetration Testing)やレッドチーム演習が注目されるようになりました。
前回のコラムでは、セキュリティ診断の基本ともいうべき脆弱性診断とペネトレーションテストの違いについて解説しましたが、今回はよりレベルの高い、TLPTとレッドチーム演習をそれぞれ解説し、自社に最適なサービスを選定するための情報をお届けします。
TLPTとは
1. TLPTの定義
TLPTとは、事前に合意した攻撃シナリオに基づいて攻撃を行い、組織全体の対応力を検証するテスト手法です。従来のテストが脆弱性の洗い出しを行い、侵入を試みることにとどまるのに対し、TLPTはレッドチーム(Red Team)の攻撃に対するブルーチーム(Blue Team)やCSIRT、経営層の対応力を評価し、サイバーレジリエンスを強化します。
2. TLPTの手法
TLPTは、前述の通り事前に合意したシナリオや攻撃手法・範囲に基づいて攻撃を行います。実際の攻撃者の手法を模倣し、組織が実際に直面しうる攻撃シナリオを作成するため、よりリアルで現実的な攻撃に対する耐性を検証する点が顕著な特徴です。
3. TLPTの構成要素
TLPTは、実際に組織が直面しうる現実的な脅威や攻撃者像を想定して行うペネトレーションテストで、次の3要素によって構成されます。1つ目は脅威インテリジェンスの活用、2つ目は攻撃シナリオの策定、3つ目はチーム体制です。この3つについて詳しく説明します。
脅威インテリジェンス(Threat Intelligence)の活用
TLPTの根幹となる要素です。これは、公開情報、サイバー脅威に関する専門機関からの情報、組織固有のリスクなどを分析し、組織が直面しうる具体的な脅威アクター(攻撃者グループ)やその攻撃手法(TTPs: Tactics, Techniques, and Procedures)を特定する活動です。この脅威インテリジェンスに基づき、現実的な攻撃シナリオを策定します。
攻撃シナリオの策定
脅威インテリジェンスで特定された脅威アクターのTTPsを参考に、テストの対象となる組織のシステム構成、ビジネスプロセス、従業員の行動パターンなどを考慮して、最も現実的で影響が大きいと考えられる攻撃のシナリオを作成します。続いて攻撃の起点、経路、最終的な目標(例:特定情報の窃取、システム停止など)を明確にし、シナリオ全体を具体的に構造化します。
チーム体制:
TLPTは通常、役割の異なる3つのチームによって実施します。
| レッドチーム(Red Team) | 攻撃側を担当するチームです。策定された攻撃シナリオに基づき、倫理的なハッキング手法を用いて標的システムや組織に疑似攻撃を仕掛けます。その目的は、防御側の対策を回避して目標を達成できるかどうかを実証することです。 |
|---|---|
| ブルーチーム(Blue Team) | 防御側を担当するチームです。レッドチームによる攻撃をリアルタイムで検知し、分析し、適切な防御・対応措置を講じます。セキュリティ監視チーム、SOC(Security Operations Center)、インシデントレスポンスチームなどがこれにあたります。TLPTは、ブルーチームの検知・対応力を試す側面も持ちます。 |
| ホワイトチーム(White Team) | テスト全体を管理・統制するチームです。テスト計画の策定、ルールの設定、進行管理、レッドチームとブルーチーム間の情報共有の仲介、テスト結果の評価などを担当します。テストが組織の業務に過度な影響を与えないよう監視し、安全に実施されるように調整します。 |
4. TLPTの利点と限界
TLPTは実際の攻撃手法を模倣し、現実的な脅威への対応能力を検証するため、組織のインシデント対応力を高め、経営層にリスクを具体的に認識させることができます。一方で、特定の攻撃手法を模倣する都合上、網羅性という観点では限界もあります。また、高度な専門性を有したメンバーが実施する必要があるため、実施のハードルが高いという点も注意が必要です。
| 利点 | 限界 |
|---|---|
|
|
上記の内容を踏まえ、どの脅威を想定してTLPTを行うのか、明確な目的を持って実施することが大切です。そのためには外部の専門機関に依頼するか、専門家を組織内で育成していくことが望まれます。
レッドチーム演習とは
1. レッドチーム演習の定義
レッドチーム演習とは、事前に依頼者と合意したゴールを、あらゆる手段を用いて達成する形で行うテストです。ゴール設定は例えば、どの資産・情報に到達できれば「成功」とみなすか、といった目標を明確にします。ITシステムに留まらず、物理的なセキュリティや従業員のセキュリティ意識までを含む、組織のセキュリティ対策全般に対し、ほぼすべての攻撃手法を許容して行うテストです。そのため、事前に禁止事項(破壊行為や本番環境の停止行為)を明確に設定して実施します。また、TLPTと同様に、レッドチームの攻撃に対するブルーチームやCSIRT、経営層の対応力も評価対象となります。
2. レッドチーム演習の手法
レッドチーム演習は、前述のとおり、特定の攻撃手法に限定することなく自由度が高い形式で実施します。そのため、電話でパスワードリセットを依頼するようなソーシャルエンジニアリングや、清掃員に扮装した侵入行為なども含め、ありとあらゆる手段を用いてゴールの達成を目指します。
3. レッドチーム演習の構成要素
レッドチーム演習は多様な攻撃手法を用いて依頼者と合意したゴールを達成するために行われるテストですが、実施する際には、次の4点を検討、決定する必要があります。
攻撃者視点の行動
レッドチーム演習は常に攻撃者の思考プロセスや行動様式を模倣して行います。攻撃者がどのように標的を選定し、情報を収集し、侵入経路を確立し、内部で権限を拡大し、最終的なゴールを達成しようとするのかを想定することで、攻撃者の視点から組織の防御能力を評価します。
ターゲット設定と攻撃目標
対象となるシステム、情報資産、物理的な場所などを明確に定義します。また、レッドチームが達成すべき最終的なゴール(例:特定のデータベースへのアクセス、機密文書の窃取、システム停止など)を設定します。これにより、演習の範囲と焦点を定めます。
禁止事項の合意
レッドチーム演習は、本番環境に近い形で疑似攻撃を行うため、業務への影響やデータ破損などのリスクが伴います。このリスクを最小限に抑えるため、テスト開始前には、絶対に攻撃してはならないシステムやデータ、操作、時間帯など、禁止事項について関係者間で明確な合意をします。そして、演習中はホワイトチームが全体を統括し、ルールが遵守されているか、業務への影響が出ていないかを常に監視します。必要に応じて攻撃の一時停止や中断を行う権限を持ち、テストが安全かつ倫理的に進行するように管理します。
チーム体制
レッドチーム演習もTLPTと同様に、通常は以下の3チーム体制で実施します。ただし、TLPTとは違い、レッドチームには制約が少なく、多様な手法を用いてゴールの達成を目指すため、求められる動きに違いがあります。
| レッドチーム(Red Team) | 攻撃側を担当するチームです。外部の専門家チームが担うことが多いですが、組織内の独立したチームが務める場合もあります。合法かつ倫理的な範囲で、様々な攻撃手法(偵察、スキャン、脆弱性悪用、マルウェア展開、ソーシャルエンジニアリング、物理侵入など)を組み合わせてゴールの達成を目指します。可能な限り痕跡を残さないように行動するスキルが求められます。 |
|---|---|
| ブルーチーム(Blue Team) | 防御側を担当するチームです。組織内のセキュリティ運用チームやインシデント対応チームなどが担います。レッドチームの攻撃をリアルタイムで検知・防御し、封じ込め、復旧を行います。演習を通じて、自分たちの監視体制や対応プロセスがどれだけ有効かを評価します。 |
| ホワイトチーム(White Team) | テスト全体を管理・統制するチームです。テスト計画の策定、ルールの設定、進行管理、レッドチームとブルーチーム間の情報共有の仲介、テスト結果の評価などを担当します。テストが組織の業務に過度な影響を与えないよう監視し、安全に実施されるように調整します。 |
4. レッドチーム演習の利点と限界
レッドチーム演習では多様な手法を用いてゴールの達成を目指す為、実際の攻撃者目線からの評価が可能となり、想定外の弱点の発見にもつながるなどの多くのメリットがあります。一方で、目標達成にあまり関係のない部分に関する弱点は検出しにくいため、網羅性という点では限界も存在します。
| 利点 | 限界 |
|---|---|
|
|
レッドチーム演習もTLPTと同様に、明確な目的意識をもって実施することが大切です。また、レッドチーム演習独自の課題としては、多様な手段を使用してゴールの達成を行う為、高度なスキルが求められる上、行動規範や法的な制約を遵守する倫理観が必須なことが挙げられます。外部に支援を依頼するのが一般的といえるでしょう。
TLPTとレッドチーム演習の比較
TLPTとレッドチーム演習は、どちらも高度なセキュリティ体制を目指す組織に不可欠なセキュリティ評価手法ですが、実施方法がよく似ているため混同されがちです。その定義や実施の起点、目的などの違いを中心に比較し、主な相違点を整理します。
| 比較項目 | TLPT | レッドチーム演習 |
|---|---|---|
| 定義 | 現実の脅威に基づいた攻撃シナリオを通じて、防御態勢の実効性を評価するテスト手法 | 攻撃者視点に立ち、多様な手段を通じて防御態勢の実効性を実証的に評価する演習 |
| 最大の強調点/焦点 | 特定の現実的な脅威に対する組織の防御・検知・対応能力の実効性 | 攻撃者の思考と行動を模倣した防御の突破とゴールの達成の実証 |
| 実施の起点 | 特定の脅威アクターやその攻撃手法(TTPs)に関する脅威インテリジェンス | 広範な攻撃者視点に基づいた、組織に対する想定される攻撃 |
| 主な目的 | 現実の脅威に対する組織のサイバーレジリエンス(防御・検知・対応)の評価・向上 | 組織全体のセキュリティ対策やインシデント対応プロセスの実効性の実証 |
| 評価対象 | レッドチームによる攻撃成功可否だけでなく、ブルーチームの検知・対応能力の評価が明確な目的 | レッドチームによるゴールの達成の可否とブルーチームの検知・対応能力が評価対象 |
| シナリオの特性 | 特定の脅威アクターのTTPsを可能な限り忠実に模倣する傾向が強い | 多様な攻撃手法(技術的、物理的、人的)を組み合わせて防御を突破することを目指す |
| 標準化されたフレームワーク | 金融分野などでCBEST、TIBER-EUなどの標準化されたフレームワークが存在 | より一般的な概念であり、特定の厳格なフレームワークはないがMITRE ATT&CKを活用したレッドチーム演習の形式的枠組みも増えている |
| チーム体制 | レッドチーム(攻撃)、ブルーチーム(防御)、ホワイトチーム(管理)の3チーム | レッドチーム(攻撃)、ブルーチーム(防御)、ホワイトチーム(管理)の3チーム |
| 主な利点 |
|
|
| 限界点 |
|
|
どちらの手法を選択すればよいのか
では、あなたの組織はTLPTとレッドチーム演習のどちらを選択すればよいのでしょうか。TLPTとレッドチーム演習は、どちらも現状のサイバーセキュリティ対策の実効性を可視化し、今後の改善に役立てるための強力な手段ですが、焦点を当てるポイントが異なります。そのため、組織の状況や目的に応じて、より適した手法を選択しましょう。
1. TLPTが向いている組織
TLPTの実施が向いているのは、特定の高度な脅威に狙われている組織や、規制によってその対応が求められているし組織です。例えば金融機関のように、特定の攻撃者グループのTTPs(戦術、技術、手順)を深く理解し、それに対する自社の防御・検知・対応プロセスがどこまで機能するかを検証したいケースに最適です。また、既存の脅威インテリジェンスを活用して、より具体的な防御強化に繋げたい場合も、TLPTは有効です。
2. レッドチーム演習が向いている組織
一方、レッドチーム演習の実施が向いているのは、セキュリティ成熟度が高く、より包括的な攻撃者視点で自社の防御態勢全体を実証したい組織です。この手法は、ITシステムだけでなく、従業員のソーシャルエンジニアリング耐性や物理的なセキュリティ、インシデント対応プロセスまで含めたあらゆる側面からの防御態勢を総合的に評価します。想定外の弱点や複雑な侵入経路を発見したい組織に役立ちます。また、ブルーチームの実戦的な対応能力向上や、経営層にサイバー攻撃の現実と影響範囲を具体的に示す目的にも適しています。
TLPTとレッドチーム演習のどちらを選ぶかは、組織がどのような脅威に直面しているか、セキュリティのどのような側面を最も強化したいかによって判断します。
TLPTとレッドチーム演習は、それぞれが異なる焦点を持ちながらも、組織のサイバーレジリエンスを向上させるという共通の目標に向かっています。組織は、自社のセキュリティ成熟度、直面している具体的な脅威、予算、そして何よりもセキュリティ評価を通じて何を達成したいのかを明確にすることで、どちらの手法がより適切であるかを判断し、最適なセキュリティ戦略を策定できるでしょう。
