継続的自動レッドチーム編成（CART）がサイバーセキュリティー体制の改善にどのように役立つのか

問題は、組織が侵害されるかどうかではなく、いつ侵害されるかです。熟練し、十分なリソースを備え、経験豊富な攻撃者は、最悪のサイバー脅威の悪夢となる可能性があります。貴組織が幸運にもレッドチームと関わっていれば、倫理的なハッカーと親友になる可能性もあります。

レッドチーム・テストの実施は、防御を検証し、脆弱性を発見し、組織のサイバーセキュリティー体制を改善するための最も現実的な方法です。レッドチームの関与により、ブルーチームはセキュリティー・プログラムの有効性をより正確に評価し、改善する機会が得られます。これは、より多くの組織がサイバーセキュリティー体制にレジリエンス第一の考え方を取り入れる方法でもあります。

レッドチーム編成のメリットやレッドチームとブルーチームの違い、パープルチームとは何かについては、以前のブログ記事「レッドチームの基礎：レッドチーム編成とは」でご確認ください。

サイバーセキュリティーにおいてレッドチームが重要な理由

セキュリティー・テストの一部として、レッドチームはセキュリティーの専門家であり、「悪者」を演じて、ブルーチームの防御者に対する組織の防御をテストします。

レッドチームは、実際の脅威アクターと同等のスキルを持ち、攻撃対象領域を調査して、アクセスを取得し、足がかりを築き、横方向に移動してデータを盗み出す方法を探します。このアプローチは、機微情報や悪用可能なセキュリティーの脆弱性を見つけ、サイバーセキュリティー防御をテストしてセキュリティー・コントロールにアクセスすることに重点を置いたペネトレーション・テスト（またはペンテスト）の方法論とは対照的です。

サイバー犯罪者とは異なり、レッドチームは実際に損害を与える意図はありません。彼らの目標は、むしろ、サイバーセキュリティー防御のギャップを明らかにし、セキュリティー・チームが実際の攻撃が発生する前にプログラムを学習して調整できるようにすることです。

レッドチームがレジリエンスを構築する方法

有名な言葉に次のようなものがあります。「理論的には、理論と実践は同じです。実際にはそうではありません。」サイバー攻撃を防止し、サイバー攻撃から回復する方法を学ぶ最善の方法は、レッドチームの活動を実施して練習することです。そうしないと、どのセキュリティー戦術が機能しているか証拠がなく、非効率なテクノロジーやプログラムにリソースが簡単に浪費されてしまいます。

自分を倒そうとしている敵と交戦する機会がなければ、何が本当に効果的で何が効果的でないか、どこに追加投資が必要か、どの投資が無駄だったのかを判断するのは困難です。

レッドチーム演習では、攻撃シミュレーションを行う専任の敵対者に対して、組織のセキュリティー管理・防御・実践・利害関係者を戦わせます。これがレッドチーム・アセスメントの真価です。セキュリティー・リーダーは、組織のサイバーセキュリティーを実際に評価し、ハッカーがさまざまなセキュリティーの脆弱性をどのように悪用するかについての洞察を得られます。結局のところ、自分が何を見逃したのか、あるいは何をしたのか、本当にうまくいったのかを国家級の攻撃者に聞くわけにはいかないので、実際にプログラムを評価するために必要なフィードバックは得られにくいのです。

さらに、レッドチームのあらゆる業務が、測定と改善の機会を生み出します。セキュリティー・ツールやテスター、意識向上トレーニングなどの投資が、さまざまなセキュリティー脅威の軽減に役立っているかどうか、その概要を把握できます。

レッドチームのメンバーは、企業が発見して修正するという考え方を超えて、絶対的な防御の考え方に進化することも支援します。攻撃者がネットワーク・セキュリティーを崩すのは恐ろしいことですが、ハッカーはすでにセキュリティー・インフラのあらゆるドアノブを試しているのです。ハッカーより先に、鍵のかかっていないドアを見つけるのが最善策です。

レッドチームを関与させるタイミング

企業には、すでにハッキングされた企業とこれからハッキングされる企業2種類しかないと言われています。残念ながら、それは真実からそうかけ離れていないかもしれません。規模に関係なく、すべての企業がレッドチーム編成・アセスメントを実施することでメリットを得られます。ただし、レッドチームの関与が最大のメリットをもたらすには、組織が次の2つを備えている必要があります。

実践すべきこと（セキュリティー・プログラムが実施されている）
一緒に練習する人（ディフェンダー）

組織がレッドチーム・サービスを利用するのに最適な時期は、プログラム・レベルの問題を理解したいときです。例えば、機微データを抜き取ろうとする攻撃者は、アラートをトリガーする前にネットワーク内にどこまで侵入するのかといった問題です。

セキュリティー・チームがインシデント対応計画をテストしたり、チームメンバーをトレーニングしたりする場合にも、レッドチーム編成は良い選択肢となります。

レッドチーム編成だけでは不十分な場合

レッドチーム編成は、組織のセキュリティーと潜在的な攻撃に耐える能力をテストするための最良の方法の1つです。では、なぜもっと多くの企業がそれを選択しないのでしょうか。

レッドチーム編成は有益ですが、今日の速いペースで常に変化する環境では、レッドチームの関与では重大な変更が発生したときにそれを検知できないおそれがあります。セキュリティー・プログラムの有効性は、前回検証されたときと同じで、可視性のギャップやリスク態勢の弱体化につながります。

社内にレッドチームの能力を構築するにはコストがかかり、必要なリソースを割ける組織はほとんどありません。レッドチームが真に影響力を発揮するためには、現代のサイバー犯罪組織や国家レベルの脅威のような、持続的で十分なリソースを持つ脅威レベルを模倣できるだけの人員が必要です。レッドチームには、標的設定や調査、攻撃演習のための専任のセキュリティー・オペレーション・メンバー（または、倫理的ハッキングのサブチーム）を含める必要があります。

組織にレッドチーム・サービスを契約するオプションを提供するさまざまなサードパーティー・ベンダーが存在します。その範囲は、大企業から特定の業界やIT環境に特化した小規模事業者まで多岐にわたります。フルタイムのスタッフを雇用するよりもレッドチームのサービスと契約する方が簡単ですが、特に定期的に契約する場合は、実際の費用が高くなる可能性があります。その結果、真の洞察を得るのに十分な頻度でレッドチームを使用している組織は少数です。

サイバーセキュリティーにおける継続的な自動レッドチーム（CART）のメリット

継続的自動レッドチーム編成（CART）では、自動化を利用して資産を検出し、検出に優先順位を付け、（許可されたら）業界の専門家によって開発および保守されているツールとエクスプロイトを利用して実際の攻撃を実行します。

自動化に焦点を当ててCARTを使用すると、興味深く斬新なテストに集中できるため、フラストレーションや最終的には燃え尽き症候群につながる反復的でエラーが発生しやすい作業からチームを解放できます。

CARTは、わずかなコストで全体的なセキュリティー体制を積極的かつ継続的に評価する能力を提供します。これにより、レッドチームがより身近になり、防衛パフォーマンスを最新の状態に把握できるようになります。

IBM Security Randriでサイバーセキュリティーのレジリエンス向上

IBM Security Randoriは、IBM Security Randori Attack Targetedと呼ばれるCARTソリューションを提供します。これは、全体的なセキュリティー・プログラムを継続的かつ積極的にテストおよび検証することで、サイバー・リスクを明確にするのに役立ちます。

IBMがForrester Consulting社に2023年に委託して実施した「Total Economic Impact™ of IBM Security Randori（IBM Security Randoriの総経済効果）」の調査では、レッド・チーム活動の強化による労働削減が75%であることがわかりました。

このソリューションの機能は、既存の社内レッドチームの有無にかかわらず、シームレスに統合されます。Randri Attack Targetedは、防御の有効性についての洞察も提供し、中規模の組織でも高度なセキュリティーを利用できるようにします。

IBM Security Randoriを試す

このブログ記事は、IBM Security Randriチームによる「レッドチーム編成について知っておくべきこと」シリーズの一部です。

著者

Evan Anderson

Chief Offensive Strategist — Randori

an IBM Company