レッドチームとは

今日、サイバー攻撃がかつてないほど速く進行しています。IBM X-Force Threat Intelligence Indexの調査では、ランサムウェア攻撃の実行にかかる時間は、過去数年間で94%短縮され、2019年の68日から、2023年には4日未満となっています。

レッド・チーム・オペレーションにより、組織は脅威アクターに悪用される前に、プロアクティブにセキュリティー・リスクをに発見、理解、修正することができます。レッド・チームは敵対者の視点でみます。これにより、実際の攻撃者に悪用される可能性が最も高いセキュリティー上の脆弱性を特定することができます。

レッド・チーミングのプロアクティブで敵対的なアプローチにより、セキュリティー・チームは、サイバー脅威の高まりに直面しても、セキュリティー・システムを強化し、機密データを保護することができます。

レッド・チーミングは、セキュリティー・エキスパートが実際の攻撃者の施策、技術、手順（TTP）を模倣する倫理的ハッキングの一種です。

倫理的なハッカーは悪意のあるハッカーと同じスキルを持ち、同じツールを使用しますが、その目標はネットワーク・セキュリティーを強化することにあります。レッド・チームのメンバーやその他の倫理的ハッカーは、厳格な行動規範に従います。ハッキングする前に組織から許可を得て、ネットワークやそのユーザーに実際の損害を与えることはありません。

レッド・チームは攻撃のシミュレーションを用いて、悪意のあるハッカーがどのようにシステムに損害を引き起こすかを理解します。レッド・チーミングの演習中、レッド・チームのメンバーは現実世界の敵対者であるかのように行動します。さまざまなハッキング手法、脅威エミュレーション・ツールやその他の策略を活用して、高度な攻撃者や高度な持続的脅威を模倣します。

これらのシミュレートされた攻撃は、組織のリスク管理システム（人、プロセス、テクノロジー）がさまざまな種類のサイバー攻撃にどの程度抵抗・対応できるかを判断するのに役立ちます。

レッドチームの演習では通常、時間制限を設けます。テストは、数週間から1か月以上続く場合があります。通常はは、公開情報、オープンソース・インテリジェンス、アクティブな偵察などのターゲット・システムの調査から始まります。

次に、レッドチームはシステムの攻撃対象領域のさまざまなポイントに対してシミュレート攻撃を開始し、さまざまな攻撃ベクトルを模索します。一般的なターゲットには以下が含まれます。

• AIシステムおよび機械学習（ML）モデル
• AIおよびアプリケーションをサポートするデータ・セット
• ワークステーションおよびモバイル・デバイス
• 暗号システム
• EDR（エンドポイントの検知と対応）システム
• 拡張検知と対応（XDR）システム
• ファイアウォール
• 侵入検知システム（IDS）
• Security Orchestration, Automation and Response（SOAR）システム
• WebアプリケーションおよびWebサーバー

レッド・チームは、シミュレートした攻撃中に、システムの防御者であるブルー・チームと対決することがよくあります。レッド・チームは、ブルー・チームの防御を回避しながら、その方法に注目します。さらに、レッド・チームは、発見した脆弱性とそれを悪用して何ができるかを記録します。

レッド・チーミング演習の最後に、レッド・チームはITチームおよびセキュリティー・チームと会って、調査結果を共有し、脆弱性の修復に関する推奨事項を作成します。

レッド・チームの活動では、現実世界の攻撃者が組織のセキュリティー対策を調査する際に使用するのと同じツールとテクニックを使用します。

レッド・チーミングの一般的なツールやテクニックには、以下のようなものがあります。

• ソーシャル・エンジニアリング：フィッシング、スミッシング、ヴィッシング、スピア・フィッシング、ホエール・フィッシングなどの方法で、疑いを持たない従業員から機密情報を入手したり、企業システムにアクセスしたりします。
  
  
• 物理的セキュリティー・テスト：組織の物理的セキュリティー管理体制、監視システムやアラームなどをテストします。
  
  
• アプリケーション・ペネトレーション・テスト：Webアプリをテストして、コーディング・エラーから生じるセキュリティー上の問題（例：SQLインジェクションの脆弱性）を見つけます。
  
  
• ネットワーク・スニッフィング：ネットワーク・トラフィックを監視し、構成の詳細やユーザー認証情報など、ITシステムに関する情報を取得します。
• 共有コンテンツの汚染：マルウェアやその他の危険なコードを含むコンテンツをネットワーク・ドライブやその他の共有ストレージに追加します。無防備なユーザーが開くと、コンテンツの悪意のある部分が実行され、攻撃者は横方向に移動できるようになる可能性があります。
  
  
• 認証情報の総当たり：例えば、過去の情報漏洩やよく使用されるパスワードのリスト、自動スクリプトなどから認証情報を試すなどして、パスワードを体系的に推測します。

レッド・チームは組織のセキュリティー体制を強化し、レジリエンスを促進するのに役立ちますが、セキュリティー・チームに深刻な課題をもたらす可能性もあります。最大の課題の2つは、レッド・チーム演習の実施にかかるコストと時間です。

これは、一般的な組織では、レッド・チームの取り組みはせいぜい定期的に行われる傾向があり、組織のサイバーセキュリティーについての洞察はある時点でしか得られないことを意味します。問題は、テスト時点ではセキュリティー体制が強力であっても、そのまま維持できるとは限らないということです。

継続的自動レッドチーム（CART）ソリューションを活用することで、組織はリアルタイムでセキュリティー体制を継続的に評価できます。CARTソリューションは、オートメーションにより資産を検出し、脆弱性に優先順位を付け、業界のエキスパートによって開発・保守されているツールとエクスプロイトを使用して攻撃を実行します。

CARTはプロセスの多くの部分を自動化することで、レッド・チーミングをより行いやすくし、セキュリティー担当者に興味深い斬新なテストに集中してもらえるようになります。

レッド・チーミング演習は、組織がシステムに対する攻撃者の視点を得るのに役立ちます。この視点により、組織の防御が実際のサイバー攻撃にどの程度耐えられるかを確認することができます。

シミュレートされた攻撃では、セキュリティー管理、ソリューション、さらには担当者を専用の非破壊的な敵対者と戦わせることで、何が機能しており、何が機能していないかを判断します。レッド・チーミングにより、セキュリティー・リーダーは組織の真の安全性を評価することができます。

レッド・チームは、組織を次の側面から支援します。

• 攻撃対象領域（システムに侵入される可能性のあるポイント）と、攻撃経路（攻撃の開始時にたどられる可能性のある手順）の両方における脆弱性を特定して評価します。
  
  
• 脅威検知、防止、対応機能など、現在のセキュリティー投資が、現実世界の脅威に対してどの程度機能するかを評価します。
  
  
• これまで知られていなかった、または予期していなかったセキュリティー・リスクを特定し、備えます。
  
  
• セキュリティー・システムの強化を優先します。

レッド・チーム、ブルー・チーム、パープル・チームは連携して、ITセキュリティーの向上に向けて取り組みます。レッド・チームは模擬攻撃を行い、ブルー・チームは防御側の役割を果たし、パープル・チームは両者の連携を促進します。

レッドチーム演習とペネトレーション・テスト（「ペン・テスト」とも呼ばれます）は、システムのセキュリティーを評価するための別の方法ですが、重複する部分があります。

ペネトレーション・テストでは、レッド・チーミングと同様に、ハッキング手法を駆使して、システム内の悪用可能な脆弱性を特定します。主な違いは、レッド・チーミングはよりシナリオ・ベースであることです。

レッド・チーム演習は、特定の期間内に行われることが多く、攻撃側のレッド・チームと防御側のブルーチームを戦わせることがよくあります。目標は、現実世界の敵の行動を模倣することです。

ペネトレーション・テストは、従来のセキュリティー・アセスメントに似ています。ペネトレーション・テストの実施者は、システムまたは資産に対してさまざまなハッキング手法を使用して、どの手法が機能し、どの手法が機能しないかを確認します。

ペネトレーション・テストは、組織がシステム内の悪用可能な脆弱性を特定するのに役立ちます。レッド・チームは、防御対策やセキュリティー制御を含むシステムが、現実世界のサイバー攻撃のコンテキストにおいて、どのように機能するかを理解するのに役立ちます。

ペン・テストとレッド・チーミングは、倫理的ハッカーが組織のセキュリティー体制を強化するのに役立つ2つの方法に過ぎません。倫理的ハッカーは、脆弱性評価、マルウェア分析、その他の情報セキュリティー・サービスを提供することもできます。