Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲームを活用したシミュレーションで攻撃への理解を深めよ

2018/11/07 06:00

 標的型攻撃にソーシャルな手法が使われるように、昨今のサイバー攻撃は物理的な要素と人の要素が組み合わされている。たとえ強固なサイバーセキュリティ対策が施されていても、サイバー犯罪者は物理や人の盲点を突き、組織の重要な情報を盗み出していく。そこで重要になるのが、最新の手法による演習だ。9月13日に開催した「Security Online Day 2018」(主催、翔泳社)では、デロイト トーマツ リスクサービス株式会社のAri Davies氏が登壇し、サイバーセキュリティ対策の実効性確保に向けた取り組みとして、Red Team、Blue Team、Purple Teamの紹介が行われた。

まるで映画のようなハッキングの現状

攻撃型のセキュリティ「Red Team」

デロイト トーマツ リスクサービス株式会社 ディレクター Ari Davies氏

 Davies氏は冒頭、デロイトが制作したムービーを紹介した。サイバー攻撃者集団が6カ月前から標的となる企業に清掃員として潜り込み、物理的なハッキングを仕掛けておく。しかし、企業側も6カ月前にRed Team演習を実施済で、サイバー攻撃は失敗に終わるというものだ。今回のテーマとした赤、青、紫の3色は、サイバーセキュリティのシミュレーションにおけるチームの色を表している。Davies氏はデロイトのRed Team Operationsのヘッドで、「攻撃型のセキュリティ」の技術を専門とする。

 デロイトが提供するRed Team Operationsは、「サイバーセキュリティの実効性」を評価するものである。実際の演習では、組織のあらゆる要素をスコープに入れ、シナリオに基づくアプローチを行うことにより、従来の管理態勢評価や脆弱性評価などよりも実践的な評価ができる。Red Team Operationsの実施によって組織のサイバーセキュリティの実力および課題を可視化することで対応力の高度化を促進することを目的としている。

 Davies氏は、米国の国防長官を長く務めているドナルド・ラムズフェルド氏の言葉を引用し、「既知の知」「既知の未知」だけでなく、「未知の未知」の存在に触れた。セキュリティに当てはめると、既知の知は監査のようなもので、何が問題で何が問題でないのかを監査によって知ることとなる。既知の未知は、妙な挙動などに対してセキュリティテストや侵入テストを行って原因を把握しようとすること。そして未知の未知は、これまでに経験したことのない攻撃や手法の部分だ。Davies氏は、Red Team Operationsによるアセスメントを実施することで「未知の未知」を可視化できる。そして、組織の監視体制や検知体制をさらに成熟させることができるという。  

 未知の未知における好例として、Davies氏はTV MONDEというフランスの放送局がサイバー攻撃を受けた事例を紹介した。この放送局は、非常に高度なセキュリティ対策を行っていたのに、サイバー攻撃を受けてしまった。その理由はニュースの映像の中にあった。デスクで記者が話している映像の背後に、YouTubeのパスワードが書かれた紙が映り込み、それをきっかけに不正アクセスを受けてしまった。Davies氏は「どれだけ高度な防御が行われていたとしても、こうした人間の間違いによって破られる」と指摘した。

 「サイバーセキュリティは、実際にはサイバーだけではありません。物理的なものや人間など全てが関わってサイバー攻撃になります。なぜなら、外部からファイアウォールを超えて攻撃するよりも、フィッシングメールや企業に侵入する方が簡単だからです。25年前のやり方とは今は全く違うのです」。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5