シミュレーションの客観的な評価がサイバー攻撃への理解を深める
攻撃と防御のコラボ「Purple Teaming」
攻撃型のRed Team Operations、防御型のBlue Team。両チームのコラボレーションを担当するのはPurple Teamingだ。シミュレーションを行う場合、教育およびゲーミフィケーションの立場から、Red TeamとBlue Teamはお互いに対抗するのではなく、連携して動く。
コラボレーションにはいろいろなやり方があるが、一番単純なのは事例として行うことだという。ケーススタディのワークショップで、机上でシミュレーションし、それを議論し、アイデアを交換する。ITシステムには手を触れないので、非常に安全だ。次のステップでは、WannaCryやWindowsの脆弱性など、より具体的な部分にフォーカスを絞った攻撃シミュレーションを行う。新しい攻撃手法を使用した場合、防御側はそれを検知できるかどうか解らない。
最終的には「完全なシミュレーション」を行い、Purple Teamingが客観的に評価し、お互いに改善した上で再度シミュレーションを実施していく。デロイトで実際に使用しているシミュレーション画面では始めに、暗号化されたシステムやインフラ、Web、銀行システムなどの項目から対象を選び、Red Teamは攻撃を加え、Blue Teamは防御を行う。攻撃に成功すればRed Teamにポイントが入り、防御に成功すればBlue Teamにポイントが入る。その様子はスコアボードで見ることができる。
ゲームの要素としてバッジやメッセージ機能もあり、これらを活用するとゲームでより良い成績が出るという。こうした「友好的な競争」という形でゲームを進めていくことで、安全な環境で攻撃側と防御側がそれぞれサイバー攻撃への理解を深め、記憶し、学習することができる。デロイトでは、ゲーミフィケーションの一環として「Hackazon」も立ち上げている。
Davies氏は講演の最後に「サイバーセキュリティの担当者たちはこのようなサイバー攻撃のゲーム活用することで、セキュリティオフィサーとしてもっとうまく機能することができる」と締めくくった。
