「Red Team Testing」は電子的攻撃だけでなく物理的な攻撃シミュレーションも実施
変装してオフィス侵入も!デルのサイバー攻撃試験サービス
2015年11月12日 12時00分更新
本物に限りなく近い攻撃シミュレーションでリスクを知る
2015年11月11日、デルはDell SecureWorksのセキュリティ&リスクコンサルティングの1つとして、サイバー攻撃シミュレーションサービス「Red Team Testing」を提供開始した。企業システムへの攻撃テストで内在するリスクを洗い出す同サービスでは、電子的な攻撃に加え、物理的な攻撃も実施するのが特徴だ。
「Red Team Testing」では、変装したレッドチームのメンバーによるターゲットオフィス内への物理的侵入テストも実行可能だ
サービスメニューは2種類ある。1つは、フィッシングメールをクリックさせるなどでマルウェアに感染させ、遠隔操作やデータ窃取などを試みる「リモートRed Team Testing」。2つめは、レッドチームのメンバーが現地に赴き、オフィスや業務施設、無線LANなどへの侵入を試みる「オンサイトRed Team Testing」だ。
日本のレッドチームのリーダーを務めるDell SecureWorksの三科涼氏は、「グローバルでは4年前から提供しており、日本のレッドチームは多様な実績を積んだグローバルチームと連携してシミュレーションを実施する。日本チームについても、セキュリティ業界で平均8年以上の経験あるメンバーが集められ、グローバルチームのプロジェクトに参加して実地訓練を受け、鍛えられている」と述べる。
過去4年間の実績、レッドチームによる攻撃達成率は「100%」!
Dell SecureWorks プリンシパルコンサルタントの三科涼氏
同シミュレーションでは、最初に「情報の漏洩や改竄」「最重要システムに対する不正アクセス」「風評被害の発生」といった架空の攻撃目的を、顧客との間で設定する。この目標を達成するべく、レッドチームは「偵察活動・情報収集(OSINT)」「シナリオ作成・攻撃準備」「境界突破」「内部侵入」「目的遂行」「最終分析・報告書作成」の6つの攻撃プロセスを決行する。
「一般的なセキュリティ診断では、システムやWebアプリケーションの脆弱性を網羅的に調査する。一方のRed Team Testingは、目的を達成することを目標に、必要な攻撃方法や攻撃経路を深掘りして実行する。そのため、リアルに限りなく近い攻撃活動が再現され、有事におけるCSIRTやセキュリティ管理部門の危機対応能力、IT環境の総合的な検知力や防御力をかなり正確に評価できる」(三科氏)
実施時期や手法などについて、対象企業には原則通知しない。「最終的にデータを窃取するところまで行うかどうかは、最初の目的設定時に相談、決定する。攻撃環境は案件ごとに構築、破棄するので、シミュレーション時に取得したデータなどは完全に破棄される」(三科氏)。
なお、顧客に危害を与えるような物理的な破壊やDDoS攻撃などについては、その可能性を調査することはできるが実施は対象外になるという。
過去4年間、同サービスの目的(つまり架空の攻撃)達成率は「100%」だという。
たとえばグローバルチームが対応した大手金融機関の事例では、設定された27のゴールすべてを達成、ドメイン管理者含む500以上のユーザーアカウントを掌握することに成功したという。また、致命的な欠陥を突いてLinux専用ネットワークに侵入、顧客データベースを押さえることにも成功。「経験豊富なチームメンバーも、このときばかりは全身に緊張が走った」と三科氏は明かす。
Red Team Testingの料金は個別見積もり。ただし、標準的なアプローチ方法はある程度決まっているので、規模にもよるが500万円から3000万円を想定しているという。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
