オフェンシブセキュリティとは何ですか?

オフェンシブ・セキュリティー・オペレーションは、多くの場合、 倫理的ハッカー 、つまりITシステムの欠陥を発見・修正するためにハッキング・スキルを駆使するサイバーセキュリティーの専門家によって実行されます。倫理的ハッカーは 、システムに侵入して機密データを盗んだり、 マルウェア をドロップしたりする実際のサイバー犯罪者とは異なり、許可を得て侵害シミュレーションを実行します。彼らは実際の被害を引き起こす手前で止まり、偽の攻撃から得られた調査結果を組織の防御強化に役立てます。

歴史的に、オフェンシブセキュリティーとは、攻撃者を行き止まりのディレクトリに誘い込むなど、攻撃者を困らせるための戦略も指します。このような対立的な方法は、今日の 情報セキュリティの 状況ではあまり見られません。

オフェンシブセキュリティがなぜ重要であるかを理解するには、それをディフェンシブセキュリティと比較すると役立ちます。

ウイルス対策ソフトウェアやファイアウォールなどの防御的なセキュリティ対策は、設計上事後対応型です。これらのツールは、既知の脅威をブロックするか、不審な動作を検出するために構築されています。SOARプラットフォームのような高度なディフェンシブセキュリティツールの中には、進行中の攻撃への対応を自動化できるものもあります。

防御的なセキュリティ戦術は進行中の サイバー攻撃を 阻止するのに役立ちますが、こうした手法はセキュリティ・チームに多大な作業負荷をもたらします。アナリストはアラートとデータを分類して、実際の脅威と誤報を区別する必要があります。加えて、防御的なセキュリティ対策は既知の攻撃ベクトルからしか保護できないため、組織は新たな未知のサイバー脅威にさらされることになります。

オフェンシブセキュリティーは守備的セキュリティーを補完 セキュリティ チームは OffSec 戦術を使用して、他のセキュリティ対策が見逃す可能性のある未知の攻撃ベクトルを発見して対応します。また、オフェンシブセキュリティーは防御的なセキュリティよりも積極的です。オフェンシブセキュリティー対策では、サイバー攻撃が発生したときにそれに対応するのではなく、攻撃者が悪用する前に欠陥を発見して対処します。

つまり、オフェンシブセキュリティーは、防御的なセキュリティをさらに効果的にする情報をもたらします。また、セキュリティチームの負担も軽減されます。 これらの利点により、一部の高度に規制されたセクターでは、オフェンシブセキュリティーが業界標準となっています。

オフェンシブセキュリティ専門家が使用する戦術、技術、および手順（TTP）は、脅威アクターが使用するものと同じです。これらのTTPを使用することで、OffSecの専門家は、実際のハッカーが既存のセキュリティプログラムのテスト中に使用する可能性のある潜在的な脆弱性を根絶できます。

主なオフェンシブセキュリティー戦術には以下のようなものがあります：

脆弱性スキャンは、組織の IT 資産の脆弱性を検出するための自動プロセスです。これには、専用ツールを使用してコンピューター システムの脆弱性をスキャンすることが含まれます。

脆弱性スキャナーは、特定のソフトウェア バージョンに関連する既知の脆弱性を資産から検索できます。また、一般的な SQL インジェクション文字列やその他の悪意のある入力にアプリがどのように応答するかを確認するなど、よりアクティブなテストを実行することもできます。

ハッカーは多くの場合、脆弱性スキャンを使用して、攻撃中に悪用できる脆弱性を特定します。次に、OffSec の専門家は、同じ脆弱性スキャナーを使用して、ハッカーが脆弱性を占拠する前にこれらの脆弱性を見つけて解決します。このプロアクティブなアプローチにより、組織は脅威の先を行き、防御を強化することができます。

ペネトレーション・テスト（「ペンテスト」）は、コンピューターシステムの脆弱性を見つけるために模擬サイバー攻撃を使用することです。基本的に、侵入テスターは人間の脆弱性スキャナーとして機能し、本物のハッカーを模倣してネットワークの欠陥を検索します。ペンテスターは攻撃者の視点を取り入れることで、悪意のある攻撃者が狙う可能性が最も高い脆弱性を効果的に特定することができます。

人間のセキュリティ専門家がペンテストを行うため、完全に自動化されたツールでは見逃してしまうような脆弱性を検出することができ、偽陽性を示す可能性も低くなります。サイバー犯罪者が欠陥を悪用できるのであれば、サイバー犯罪者も悪用できるのです。また、ペンテストはサードパーティのセキュリティサービスによって提供されることが多いため、社内のセキュリティチームが見逃してしまう可能性のある欠陥を発見できることがよくあります。

「敵対的シミュレーション」としても知られるレッド チームは、専門家のグループが現実世界のサイバー犯罪者の TTP を使用して、コンピューター システムに対して模擬攻撃を開始する演習です。

ペンテストとは異なり、レッドチームテストとは敵対的なセキュリティ評価のことです。レッドチームテストでは、（実際の損害を引き起こすことなく）攻撃ベクトルを積極的に活用して、どこまで攻撃できるかを確認します。このテストでは、彼らを阻止しようとするセキュリティエンジニアのチームであるブルーチームとも対決します。これにより、組織は インシデント対応の手順を実際にテストする機会を得ることができます。

組織は社内にレッドチームを雇用するか、サードパーティと契約してレッドチーム演習を実施します。技術的な防御と従業員の意識の両方をテストするために、レッドチームの運用ではさまざまな戦術が使用される場合があります。一般的なレッドチームの手法には、ランサムウェアの模擬攻撃、フィッシングやその他のソーシャル・エンジニアリングシミュレーション、さらにはテールゲーティングのような現場での侵害テクニックが含まれます。

レッドチームは、持っている情報の量に応じて、さまざまな種類のテストを実施する場合があります。ホワイトボックステストでは、レッドチームはターゲットシステムの内部構造とソースコードに対する完全な透明性を持っています。ブラックボックステストでは、レッドチームはシステムに関する情報を持たないため、現実世界のハッカーと同様に、外部から侵入する必要があります。グレーボックステストでは、レッドチームは、ネットワークデバイスのIP範囲など、ターゲットシステムに関する基本的な知識を持っている可能性がありますが、それ以外の知識はほとんどありません。

オフェンシブセキュリティへの取り組みには、実践的なハッキング経験、プログラミング言語の知識、Webアプリケーションのセキュリティに関する知識が不可欠です。これらの分野での専門知識を証明するために、オフェンシブセキュリティの専門家は、多くの場合、オフェンシブセキュリティ認定プロフェッショナル（OSCP）や認定倫理ハッカー（CEH）などの認定資格を取得します。

OffSec チームは、オープンソース セキュリティ テスト方法マニュアル (OSSTMM) やペネトレーション テスト実行標準 (PTES) などのオープンソース プロジェクトを含む、確立された倫理的なハッキング手法にも準拠しています。

オフェンシブセキュリティーの専門家は、次のような一般的なオフェンシブセキュリティー ツールにも熟練しています。

Metasploit: IT システムに対するエクスプロイトを開発および自動化するためのフレームワーク主にペネトレーションテストや脆弱性評価に用いられます。

Kali Linux： ペンテストと デジタル・フォレンジック 用に設計されたLinuxオペレーティング・システム。

Burp Suite: 脆弱性をスキャンし、Web トラフィックを傍受および変更し、攻撃を自動化できる Web アプリケーション セキュリティ テスト ツール。

Wireshark: ネットワーク トラフィックをキャプチャして検査し、ネットワーク通信におけるセキュリティ問題の特定に役立つネットワーク プロトコル アナライザー。

Nmap: ネットワーク検出、ポート スキャン、サービス識別に使用されるネットワーク スキャン ツール。

Aircrack-ng: Wi-Fi ネットワーク セキュリティをテストするためのツール スイートで、パケットの盗聴、ハンドシェイクのキャプチャ、パスワード暗号化の解読機能を備えています。

John the Ripper: パスワード ハッシュに対してブルート フォース攻撃を実行するパスワード クラッキング ツール。

sqlmap: Web アプリの SQL インジェクションの脆弱性を悪用するプロセスを自動化するツール。