まるで映画のようなハッキングの現状
攻撃型のセキュリティ「Red Team」
デロイト トーマツ リスクサービス株式会社 ディレクター Ari Davies氏
Davies氏は冒頭、デロイトが制作したムービーを紹介した。サイバー攻撃者集団が6カ月前から標的となる企業に清掃員として潜り込み、物理的なハッキングを仕掛けておく。しかし、企業側も6カ月前にRed Team演習を実施済で、サイバー攻撃は失敗に終わるというものだ。今回のテーマとした赤、青、紫の3色は、サイバーセキュリティのシミュレーションにおけるチームの色を表している。Davies氏はデロイトのRed Team Operationsのヘッドで、「攻撃型のセキュリティ」の技術を専門とする。
デロイトが提供するRed Team Operationsは、「サイバーセキュリティの実効性」を評価するものである。実際の演習では、組織のあらゆる要素をスコープに入れ、シナリオに基づくアプローチを行うことにより、従来の管理態勢評価や脆弱性評価などよりも実践的な評価ができる。Red Team Operationsの実施によって組織のサイバーセキュリティの実力および課題を可視化することで対応力の高度化を促進することを目的としている。
Davies氏は、米国の国防長官を長く務めているドナルド・ラムズフェルド氏の言葉を引用し、「既知の知」「既知の未知」だけでなく、「未知の未知」の存在に触れた。セキュリティに当てはめると、既知の知は監査のようなもので、何が問題で何が問題でないのかを監査によって知ることとなる。既知の未知は、妙な挙動などに対してセキュリティテストや侵入テストを行って原因を把握しようとすること。そして未知の未知は、これまでに経験したことのない攻撃や手法の部分だ。Davies氏は、Red Team Operationsによるアセスメントを実施することで「未知の未知」を可視化できる。そして、組織の監視体制や検知体制をさらに成熟させることができるという。
未知の未知における好例として、Davies氏はTV MONDEというフランスの放送局がサイバー攻撃を受けた事例を紹介した。この放送局は、非常に高度なセキュリティ対策を行っていたのに、サイバー攻撃を受けてしまった。その理由はニュースの映像の中にあった。デスクで記者が話している映像の背後に、YouTubeのパスワードが書かれた紙が映り込み、それをきっかけに不正アクセスを受けてしまった。Davies氏は「どれだけ高度な防御が行われていたとしても、こうした人間の間違いによって破られる」と指摘した。
「サイバーセキュリティは、実際にはサイバーだけではありません。物理的なものや人間など全てが関わってサイバー攻撃になります。なぜなら、外部からファイアウォールを超えて攻撃するよりも、フィッシングメールや企業に侵入する方が簡単だからです。25年前のやり方とは今は全く違うのです」。
検知を回避しようとするマルウェアの特定を急ぐために
防御型のセキュリティ「Blue Team」
続いてDavies氏は、防御側のBlue Teamについて説明。Davies氏は、SIEM製品の管理画面を示し、これは防御における始まりの一歩に過ぎないとした。 デロイトでは、制御システムへのハッキングを念頭とした鉄道モデルとして、ハッキングによってレールの分岐器を不正操作し、列車同士を衝突させるというデモを行う。こうした攻撃も、SIEM製品を使えば、攻撃をステップごとに視覚化することができる。防御においては、いかに攻撃の流れを視覚化し、サイバーキルチェーンをはっきりさせるかがポイントになるという。
組織ではもはやSOCは必須だ。さらに次のレベルとしてDavies氏は「脅威ハンティング」を重要視する。脅威ハンティングとは、文字通りに脅威を捕らえることだ。たとえアラートが上がっていなくても、すでに攻撃が仕掛けられている可能性もある。例えば銀行を狙う攻撃が多くなったときに、自社ではアラートは上がってないが、単に攻撃を視覚化する機能がないだけかも知れない。そこで平時のパターンを可視化しておき、普段と違うパターンを攻撃の兆候として検知できるようにする。
さらに最近では、組織内に侵入したマルウェアがC&Cサーバと通信を行う際に、常時接続をしなくなった。これにより検知を回避しようとしているわけだが、異常検知に数学的な手法「線形回帰」を取り込むことで検知が可能だ。通信を監視していると、すべての接続はランダムなドットになる。そこに線形回帰の手法を加えると中間値が得られる。これによって攻撃をより簡単に特定できるわけだ。
Blue Teamには、高度な訓練と幅広いスキルが求められる。いろいろな訓練を受けて、多くのスキルを身につけて成熟していなければならない。
シミュレーションの客観的な評価がサイバー攻撃への理解を深める
攻撃と防御のコラボ「Purple Teaming」
攻撃型のRed Team Operations、防御型のBlue Team。両チームのコラボレーションを担当するのはPurple Teamingだ。シミュレーションを行う場合、教育およびゲーミフィケーションの立場から、Red TeamとBlue Teamはお互いに対抗するのではなく、連携して動く。
コラボレーションにはいろいろなやり方があるが、一番単純なのは事例として行うことだという。ケーススタディのワークショップで、机上でシミュレーションし、それを議論し、アイデアを交換する。ITシステムには手を触れないので、非常に安全だ。次のステップでは、WannaCryやWindowsの脆弱性など、より具体的な部分にフォーカスを絞った攻撃シミュレーションを行う。新しい攻撃手法を使用した場合、防御側はそれを検知できるかどうか解らない。
最終的には「完全なシミュレーション」を行い、Purple Teamingが客観的に評価し、お互いに改善した上で再度シミュレーションを実施していく。デロイトで実際に使用しているシミュレーション画面では始めに、暗号化されたシステムやインフラ、Web、銀行システムなどの項目から対象を選び、Red Teamは攻撃を加え、Blue Teamは防御を行う。攻撃に成功すればRed Teamにポイントが入り、防御に成功すればBlue Teamにポイントが入る。その様子はスコアボードで見ることができる。
ゲームの要素としてバッジやメッセージ機能もあり、これらを活用するとゲームでより良い成績が出るという。こうした「友好的な競争」という形でゲームを進めていくことで、安全な環境で攻撃側と防御側がそれぞれサイバー攻撃への理解を深め、記憶し、学習することができる。デロイトでは、ゲーミフィケーションの一環として「Hackazon」も立ち上げている。
Davies氏は講演の最後に「サイバーセキュリティの担当者たちはこのようなサイバー攻撃のゲーム活用することで、セキュリティオフィサーとしてもっとうまく機能することができる」と締めくくった。
