ブルー・チームの任務は、ビジネス目標を理解し、セキュリティー対策を継続的に改善することで、組織の資産を保護することです。
1. デジタル・フットプリント分析とリスク・インテリジェンス分析を通じて、脆弱性と潜在的なセキュリティー・インシデントを特定し、軽減する。
2. DNS(ドメイン・ネーム・サーバー)、インシデント対応、復旧などの定期的なセキュリティー監査を実施する。
3. 潜在的なサイバー脅威について全従業員を教育する。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ブルー・チームがどう機能するかを説明するには、サッカー・チームにたとえるのが最もわかりやすいでしょう。ブルー・チームは組織のサイバーセキュリティーの専門家で構成され、フィッシング攻撃や不審な活動など、あらゆる潜在的な脅威に対する組織の防衛ラインです。
ブルー・チームの作業、つまり防御ラインの最初のステップの1つは、組織のセキュリティー・ストラテジーを理解することです。このステップは、現実世界の攻撃に対する防御計画をまとめるうえで必要なデータの収集に極めて重要です。
防衛計画に先立って、ブルー・チームは、どの区域を守る必要があるかについてあらゆる情報を収集し、リスク・アセスメントを実施します。このテスト期間中、ブルー・チームはクリティカルな資産を特定し、DNS監査とネットワーク・トラフィック・サンプルのキャプチャとともに、それぞれの重要性を記録します。チームがこれらの資産を特定すると、リスク・アセスメントを実施して各資産に対する脅威を特定し、目に見える弱点や構成上の問題を明らかにすることができます。このアセスメントはサッカー・チームで言うなら、過去のプレーに関して、何がうまくいったのか、何がうまくいかなかったのかについてコーチと選手が話し合うのと似ています。
アセスメントが完了すると、ブルー・チームは、安全手順について従業員の教育を進めたり、パスワード・ルールを強化したりするなどの安全対策を実施します。これは、サッカーで新しいプレーを考案して、どの程度上手くいくかを試すことにあたります。防御計画を策定した後のブルー・チームの役割は、侵入の兆候を検知し、アラートを調査して、異常なアクティビティーに対応できる監視ツールを導入することです。
ブルー・チームは、各種の対策と脅威インテリジェンスを使用してネットワークをサイバー攻撃から保護し、全体的なセキュリティー体制を強化する方法を理解し始めます。
ブルー・チームのメンバーは潜在的な脆弱性を常に探し、新たな脅威に対して既存のセキュリティー対策をテストする必要があります。以下は、ブルー・チームのメンバーが維持すべきスキルとツールの一部です。
ブルー・チームのメンバーは、ファイアウォール、フィッシング、安全なネットワーク・アーキテクチャー、脆弱性評価、脅威モデリングなど、サイバーセキュリティーの概念の一部を基本的に理解している必要があります。
ブルー・チームのメンバーは、Linux、Windows、macOSなどのオペレーティング・システムを深く理解している必要があります。
万一インシデントが起こった場合に向けて備えることが重要です。ブルー・チームのメンバーは、インシデント対応計画を作成して実行するスキルを持っている必要があります。
ファイアウォール、侵入検知システム/防止システム(IDS/IPS)、ウイルス対策ソフトウェア、SIEMシステムなどのセキュリティー・ツールの使用に習熟している必要があります。SIEMシステムは、リアルタイムのデータ検索を実行してネットワーク・アクティビティーを取り込みます。また、エンドポイント・セキュリティー・ソフトウェアをインストールして構成できるようになります。
ブルー・チームの役割は、高レベルの脅威に焦点を当て、検知と対応の技術を徹底することです。