まるで映画のようなハッキングの現状
攻撃型のセキュリティ「Red Team」
デロイト トーマツ リスクサービス株式会社 ディレクター Ari Davies氏
Davies氏は冒頭、デロイトが制作したムービーを紹介した。サイバー攻撃者集団が6カ月前から標的となる企業に清掃員として潜り込み、物理的なハッキングを仕掛けておく。しかし、企業側も6カ月前にRed Team演習を実施済で、サイバー攻撃は失敗に終わるというものだ。今回のテーマとした赤、青、紫の3色は、サイバーセキュリティのシミュレーションにおけるチームの色を表している。Davies氏はデロイトのRed Team Operationsのヘッドで、「攻撃型のセキュリティ」の技術を専門とする。
デロイトが提供するRed Team Operationsは、「サイバーセキュリティの実効性」を評価するものである。実際の演習では、組織のあらゆる要素をスコープに入れ、シナリオに基づくアプローチを行うことにより、従来の管理態勢評価や脆弱性評価などよりも実践的な評価ができる。Red Team Operationsの実施によって組織のサイバーセキュリティの実力および課題を可視化することで対応力の高度化を促進することを目的としている。
Davies氏は、米国の国防長官を長く務めているドナルド・ラムズフェルド氏の言葉を引用し、「既知の知」「既知の未知」だけでなく、「未知の未知」の存在に触れた。セキュリティに当てはめると、既知の知は監査のようなもので、何が問題で何が問題でないのかを監査によって知ることとなる。既知の未知は、妙な挙動などに対してセキュリティテストや侵入テストを行って原因を把握しようとすること。そして未知の未知は、これまでに経験したことのない攻撃や手法の部分だ。Davies氏は、Red Team Operationsによるアセスメントを実施することで「未知の未知」を可視化できる。そして、組織の監視体制や検知体制をさらに成熟させることができるという。
未知の未知における好例として、Davies氏はTV MONDEというフランスの放送局がサイバー攻撃を受けた事例を紹介した。この放送局は、非常に高度なセキュリティ対策を行っていたのに、サイバー攻撃を受けてしまった。その理由はニュースの映像の中にあった。デスクで記者が話している映像の背後に、YouTubeのパスワードが書かれた紙が映り込み、それをきっかけに不正アクセスを受けてしまった。Davies氏は「どれだけ高度な防御が行われていたとしても、こうした人間の間違いによって破られる」と指摘した。
「サイバーセキュリティは、実際にはサイバーだけではありません。物理的なものや人間など全てが関わってサイバー攻撃になります。なぜなら、外部からファイアウォールを超えて攻撃するよりも、フィッシングメールや企業に侵入する方が簡単だからです。25年前のやり方とは今は全く違うのです」。
