侵害攻撃シミュレーションとは

侵害お攻撃シミュレーション（BAS）は、攻撃的なセキュリティーに対する自動化された継続的なソフトウェアベースのアプローチです。レッド・チーミングやペネトレーション・テストなどの他の形式のセキュリティー検証と同様に、BASは、サイバー攻撃をシミュレートしてセキュリティー制御をテストし、実行可能な洞察を提供することで、より多くの従来のセキュリティー・ツールを補完します。

レッド・チーム演習と同様、侵害攻撃シミュレーションでは、ハッカーが採用する実際の攻撃戦術、技術、手順（TTP）を使用して、実際の脅威アクターに悪用される前にセキュリティーの脆弱性を事前対応的に特定して軽減します。ただし、レッド・チーミングやペネトレーション・テストとは異なり、BASツールは完全に自動化されており、より多くの実践的なセキュリティー・テストの間に、より少ないリソースでより包括的な成果を提供することができます。SafeBreach、XM Cyber、Cymulateなどのプロバイダーは、新しいハードウェアを実装せずにBASツールを簡単に統合できるクラウドベースのソリューションを提供しています。

BASソリューションは、セキュリティー管理の検証ツールとして、組織がセキュリティー・ギャップをより深く理解できるようにするだけでなく、優先的な修復に関する貴重なガイダンスを提供します。

侵害攻撃シミュレーションは、セキュリティー・チームが次のことを行う際に役立ちます。

• 潜在的なサイバー・リスクの軽減：内部または外部の脅威の可能性について早期に警告を発し、重大なデータ窃盗、アクセスの損失、または同様の有害な結果が発生する前にセキュリティー・チームが修復作業を優先できるようにします。
• サイバー攻撃が成功する可能性を最小限に抑える：脅威のランドスケープは常に変化していますが、自動化により継続的なテストを通じてレジリエンスが向上します。

BASソリューションは、さまざまなタイプの攻撃経路、攻撃ベクトル、攻撃シナリオを再現します。MITRE ATT&CKおよびCyber Killchainフレームワークの脅威インテリジェンスで概説されているように、脅威アクターが使用する実際のTTPに基づいて、BASソリューションは以下をシミュレートできます。

• ネットワーク攻撃と侵入攻撃
• 横移動
• フィッシング
• エンドポイント攻撃およびゲートウェイ攻撃
• マルウェア攻撃
• ランサムウェア攻撃

BASプラットフォームは、攻撃の種類に関係なく、攻撃経路全体に沿って高度な持続的脅威（APT）やその他の悪意のあるエンティティーが使用する最新の攻撃手法をシミュレート、評価、検証します。攻撃が完了すると、BASプラットフォームは、クリティカルな脆弱性が発見された場合に、優先順位付けされた修復手順のリストを含む詳細なレポートを提供します。

BASプロセスは、カスタマイズ可能なダッシュボードから特定の攻撃シナリオを選択することから始まります。新たな脅威やカスタム定義された状況から派生したさまざまな種類の既知の攻撃パターンを実行するだけでなく、組織の特定の業種によってその手法が異なる既知のAPTグループの戦略に基づいて攻撃シミュレーションを実行することもできます。

攻撃シナリオが開始されると、BASツールは組織のネットワーク内にバーチャル・エージェントをデプロイします。これらのエージェントは、保護されたシステムに侵入し、重要な資産や機密データにアクセスするために横移動します。従来のペネトレーション・テストやレッド・チーミングとは異なり、BASプログラムは攻撃者が持っていない可能性のある認証情報や内部システム知識を利用することができます。このようにして、BASソフトウェアは、パープル・チーミングに類似したプロセスで、外部からの攻撃とインサイダー攻撃の両方をシミュレートできます。

シミュレーションが完了すると、BASプラットフォームは、ファイアウォールからエンドポイント・セキュリティーまで、次のようなさまざまなセキュリティー制御の有効性を検証する包括的な脆弱性レポートを生成します。

1. ネットワーク・セキュリティー・コントロール
2. エンドポイントの検知と対応（EDR）
3. Eメールのセキュリティー制御
4. アクセス制御手段
5. 脆弱性管理ポリシー
6. データ・セキュリティー管理
7. インシデント対応管理

BASソリューションは、他のサイバーセキュリティー・プロトコルを置き換えるものではありませんが、組織のセキュリティー体制を大幅に改善することができます。Gartner社の調査レポートによると、BASを使用すると、セキュリティー・チームは従来の脆弱性評価ツールと比較して、最大30～50%多くの脆弱性を発見できるようになります。侵入攻撃シミュレーションの主なメリットは次のとおりです。

1. オートメーション：サイバー攻撃の永続的な脅威が年々増大するにつれて、セキュリティー・チームは、より高い効率性で運用する必要に迫られています。BASソリューションは、オンプレミスでもオフサイトでも追加スタッフを必要とせずに、継続的なテストを24時間365日実行できます。また、BASはオンデマンド・テストの実行だけでなく、リアルタイムでフィードバックを提供することもできます。
2. 正確性：あらゆるセキュリティー・チーム、特にリソースが限られているセキュリティー・チームにとって、効率的なリソース割り当てには正確なレポート作成が不可欠です。クリティカルでない、または誤って特定されたセキュリティー・インシデントの調査に費やす時間は、無駄な時間です。ポネモン・インスティテュートの調査 によると、BASなどの高度な脅威検出ツールを使用している組織では、誤検知アラートが37%減少しました。
3. 実行可能な洞察：BASソリューションは、セキュリティー管理の検証ツールとして、特定の脆弱性や設定ミス、および組織の既存インフラに合わせて調整された状況に応じた緩和策の推奨事項を明らかにする貴重な洞察を生成できます。さらに、データ駆動型の優先順位付けにより、SOCチームはクリティカルな脆弱性に最初に対処できるようになります。
4. 検知と対応の改善：MITRE ATT&CKやCyber KillchainなどのAPTナレッジベースを基盤に構築され、他のセキュリティー・テクノロジー（SIEM、SOARなど）とも適切に統合されたBASツールは、サイバーセキュリティー・インシデントの検知率と対応率の大幅な向上に貢献します。Enterprise Strategy Group（ESG）の調査によると、BASとSOARの併用により、68％の組織でインシデント対応時間が短縮されました。Gartner社は、2025年までに、インシデントの検知と対応にかかる時間について、SOARとBASを併用する組織は50%削減できると予測しています。

業界データによれば、さまざまな種類のセキュリティー・ツールと適切に統合される一方で、近い将来、侵害攻撃シミュレーションと攻撃対象領域管理（ASM）ツールを統合する傾向が高まっているとのことです。International Data Corporationのセキュリティーおよびトラスト調査ディレクターであるMichelle Abraham氏は、「攻撃対象領域管理と侵害攻撃シミュレーションにより、セキュリティー防御側はより事前対応的にリスクを管理できるようになります」と述べています。

脆弱性管理および脆弱性スキャン・ツールは組織を内部から評価しますが、攻撃対象領域管理は、組織の攻撃対象領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に検出、分析、修復、監視します。他の攻撃シミュレーション・ツールと同様に、ASMは外部攻撃者の視点を想定し、組織の外向きの存在を評価します。

クラウド・コンピューティング、IoT（モノのインターネット）デバイス、シャドーIT（つまり、安全でないデバイスの許可されていない使用）が増加する傾向が加速しており、組織の潜在的なサイバー・エクスポージャーが増加しています。ASMソリューションは、これらの攻撃ベクトルの潜在的な脆弱性をスキャンし、BASソリューションは、そのデータを組み込んで攻撃シミュレーションとセキュリティー・テストをより適切に実行し、実施されているセキュリティー対策の有効性を判断します。

全体的な成果として、社内の従業員のアウェアネスから高度なクラウド・セキュリティーの懸念に至るまで、組織の防御をより明確に理解できるようになります。知ることが戦いの半分以上である場合、この重要な洞察は、セキュリティーの強化を目指す組織にとって非常に貴重です。