レッドチームとは何か、そのメリットとは

レッドチームとは？

レッドチームとその演習は、企業のセキュリティ状況を確認し、必要な対策を判断するために有効な方法です。その方法は、サイバー攻撃者の実際の攻撃、TTP（戦術、技術、手順：Tactics・Techniques・Procedures）を企業に模擬的に仕掛けて、セキュリティの状況を調査します。
攻撃者の手法と類似した手法で実施する必要があるため、ソーシャルエンジニアリング、物理的セキュリティテスト、模擬的ハッキング等、高度かつさまざまな方法が用いられます。実際、サイバー攻撃者は、目的達成のために、一見したところ関連性がないように見える複数のTTPを組み合わせた攻撃を行います。これが、システムの脆弱性を対象に行われる、サイバー攻撃への耐性をテストであるペネトレーションテスト（侵入テスト）の違いです。

レッドチーム演習の目的は、サイバー攻撃後のインシデントレスポンスなども含めて、企業全体におけるサイバーセキュリティ防御の現状を評価し、対処すべき問題や弱点を特定することです。実際の攻撃をシミュレーションすることで、「自社のシステムやネットワークがどのように悪用されるか」、「セキュリティ侵害後、現在のチームと体制で適切なインシデントレスポンスが実行できるか」などをより詳しく把握することができます。これにより、実際の攻撃が発生する前に防御を強化することが可能となります。以前からあるアプローチですが、アタックサーフェスの拡大や事業継続に影響するようなサイバー攻撃の顕在化を受けて、改めて注目が集まっています。

レッドチーム演習は、あらゆる規模の企業で活用できますが、特に複雑なネットワークや機密データを保有する大規模な企業では有効です。レッドチーム演習には、以下のような効果があります。

レッドチームのメリット

1．［セキュリティ体制の客観的評価］レッドチームのメンバーは独立したチームであり、企業の事業計画や意思決定のプロセスに直接関与していないため、客観的かつ公平な視点から助言を行うことができます。利害関係者が見落とす可能性のある欠点や弱点の発見につながります。

2．［組織における潜在リスクの特定］レッドチームの演習は、表面上容易に明らかにならない「潜在的なリスク」や「脆弱性」の特定に役立ちます。
これは、ミスや確認不足が深刻な影響を及ぼしかねない複雑な状況やハイリスクな状況下において、特に重要となります。これにより、企業は「潜在的なリスク」を特定し、深刻な問題が生じる前に対処することが可能となります。

3．［セキュリティ投資の最適化］模擬攻撃とそのデータに基づく客観的な分析や助言は、企業に新しい視点をもたらし、事業継続の防衛という点でより適切、効果的な解決策の決定、そして適切な投資の実行を支援するものになるでしょう。
さらに、セキュリティ計画や決定に対し、定期的に分析や助言を受け、問題解決のために継続的な取り組みを行うことで、組織全体において、より効果的な意思決定を選択する文化が醸成されます。

4．［事業継続性、レジリエンスの向上］企業はさまざまな攻撃シナリオを経験することができ、結果としてレジリエンスと適応力が向上します。
攻撃による不測の事態や課題に対する備えを強化できるほか、環境の変化に効果的に対応することができるようになります。定期的にレッドチームによる演習を行うことで、企業は手口を巧妙に変化させる潜在的な攻撃者にも、先手を打つことができます。さらに、サイバーセキュリティ侵害時のリスク（高コスト）低減にもつながります。

一方で、レッドチームには課題もあります。レッドチーム演習は時間や費用を要し、また専門的な知識や技術も不可欠となります。さらに、レッドチームの演習は、模擬的な攻撃であっても、企業内の抵抗や反発を生む可能性があります。
これらの課題を克服するために、企業はレッドチーム演習に関する明確な目標や目的を予め設定することが大切です。これらの設定により、効果的な活動のために必要なリソース及びサポートを確保することも可能となります。また、活動の価値と利点を利害関係者に伝えることや、演習が制御された方法で行われることを管理することも重要となります。
レッドチームの演習には、いくつかの種類が存在します。

レッドチームの種類

●External Red Teaming（外部攻撃シミュレーション）：ハッカー等のExternal、外部からの攻撃をシュミレーションします。これは、外部からの攻撃に対する企業の防御能力をテストし、攻撃者に悪用される可能性のある脆弱性を特定することが目的です。

●Internal Red Teaming（内部攻撃シミュレーション）：企業内のシステムやネットワークが攻撃者によって既に侵害されている事態を想定します。
例えば、フィッシング攻撃や他の認証情報を窃取する手口により入手された「他人のログイン認証情報」が利用され、内部犯行もしくは攻撃者によりシステムやネットワークに不正にアクセスされたと想定します。この活動の目的は、これらの脅威に対する企業の防御能力をテストし、攻撃者が悪用する恐れのある潜在的な弱点を特定することです。

●Physical Red Teaming（物理攻撃シミュレーション）：建物、設備、インフラストラクチャ等の企業が所有する有形資産に対する攻撃をシミュレーションします。この活動の目的は、物理的脅威に対する防御能力をテストし、攻撃者が侵入するために利用する恐れのある弱点を特定することです。

●Hybrid Red Teaming（ハイブリッド攻撃シミュレーション）：前述のさまざまな攻撃タイプの要素を組み合わせ、企業に対する多面的な攻撃をシミュレーションするものです。この活動の目標は、広範囲に及ぶ潜在的な脅威に対する企業の総合的なレジリエンスをテストすることです。

●Purple Teaming（パープルチーム演習）：ブルーチーム（企業の防御を任務とするSOCアナリストやセキュリティエンジニア）とレッドチームにより構成されるサイバーセキュリティの専門家がチームを組み、サイバー脅威から企業を保護します。この2チームにより構成されたチームは、技術的知識、分析能力、そしてイノベーティブな戦略を組み合わせ、ネットワークやシステムの潜在的な弱点を特定し、被害を最小化するための対策を講じるために活動します。

パープルチームの演習の意義は、第一にブルーチームを強化することですが、両チームの間に継続的な意思の疎通がなければ当該目的を達成することが難しくなります。ブルーチームが優先して目標を達成できるように、情報、管理、そして測定基準を共有する必要があります。
ブルーチームが関与することで、攻撃手法をより深く分析することが可能となり、結果として、脅威の特定と防止のために既存のソリューションをより効果的に運用することが可能となります。同様に、レッドチームも企業の防御手法及び防御側の考え方を理解することで、企業特有の見逃されやすい脆弱性を発見することが可能となります。

パープルチームは、攻撃的戦略と防御的戦略、両方の長所を備えています。レッドチームとブルーチームが協力することにより知識を共有できるため、企業のサイバーセキュリティ対策が改善されます。さらに、攻撃手段及び防御側の思考を理解することで、両チームはそれぞれの役割をより効果的に果たすことができます。

レッドチーム演習は、企業のサイバーセキュリティを評価する際、また改善すべき箇所を明確にする際の有効な方法です。企業が演習を理解したうえで、必要なリソースやサポートを確保することで、より実践的、有効なインサイトを得ることができるでしょう。

本記事は2023年1月にUSで公開された記事の抄訳です。
翻訳：Core Technology Marketing, Trend Micro™ Research