定量的評価のほか、演習結果から教訓を学ぶワークショップ、推奨改善策の提示でフォローアップ

SecureWorksがインシデント対応力を総合評価「Purple Teamサービス」

2018年11月30日 07時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

　Dell TechnologiesグループのSecureWorks Japanは2018年11月29日、実践的なサイバー攻撃演習を通じて企業／組織のインシデント対応能力を総合評価する「Purple Teamサービス」を提供開始した。SecureWorksの公式サービスとして、日本が最初のリリースとなる。

　サイバー攻撃のシミュレーションには、電子／物理／ソーシャルなど実際の攻撃手法や戦術を駆使し、多角的に防御の穴を検証する「Red Teamサービス」を採用。防御側である顧客CSIRT（Blue Team）の対策に実効性や有効性があるかどうかを評価し報告書をまとめるほか、演習の結果から課題や教訓などを学ぶワークショップ、発見された課題と推奨改善策を共有する報告会などによるフォローアップも行う。

SecureWorks「Purple Teamサービス」の概要

　対応能力の評価基準となるインシデント対応ライフサイクルは、NISTなどの業界ベストプラクティスと、同社の豊富な実績を組み合わせて体系化したもの。8つのフェーズ（事前準備／検知・トリアージ／通知／初期対応／分析・解析／封じ込め・根絶／回復／フォローアップ）ごとに設定された達成目標をベースに、達成に求められる評価項目や基準を策定。5段階の定量的評価でインシデント対応の成熟レベルを可視化する。

インシデント対応ライフサイクルに基づく評価例

　あらかじめ用意された定型の達成目標以外にも、顧客との話し合いで独自目標を組み込むことも可能だ。これまでRed Teamサービスなどの立ち上げに携わり、100社以上のインシデント対応現場に身を置いてきた同社の三科涼氏は、「想定外の事態に訓練どおり動けない」「何を不正とするかの判断が難しい」「ログの記録漏れなど設定ミスがあった」など、有事の際には思っていた以上に「動けない」ことを実感する企業を数多く見てきたという。

SecureWorks Japan セキュリティ＆リスクコンサルティングシニアマネージャーの三科涼氏

　インシデント対応の重要性の認識が高まり、CSIRTを設置して組織的な体制作りや、仮想的なトレーニングを実施する企業が増えたと三科氏。「インシデント対応に正解はない。局面ごとに適切な判断ができるよう、強化する必要がある」。そう述べたうえで、攻撃シミュレーションで体制の強度を確認し、より成熟させる段階に入ったとし、Purple Teamサービスはそうしたニーズに応えると説明した。

インシデント対応の総合力向上に向けた取り組み

　そのため、Purple Teamサービスでは顧客の環境を徹底的にヒアリングし、顧客の達成目標などを盛り込んだ評価基準の決定、演習シナリオの策定やリハーサルなど、事前準備に時間をかける。「対象範囲や実施期間にもよるが、プロジェクト期間は約3か月。その大部分を事前準備に費やす」（三科氏）。

プロジェクトの流れ、顧客とSecureWorks Japanの役割

　Red Teamサービスとの違いについて、いずれも最終目標は顧客のインシデント対応能力やプロセスの成熟度の向上で、実践的なサイバー攻撃演習と、組織の機器対応能力やプロセスの評価は共通する。だが、Red Teamサービスの場合はサイバーキルチェーンをベースに、システム管理者権限を奪うといった目標達成を主軸に展開。「演習を知る関係者は最小限。実際に侵入してから判明する事象や情報をつなぎ合わせて、当初は予定していなかった攻撃ベクターが見つかることもあり、これはRed Teamサービスでなければ得られない」（三科氏）

　一方のPurple Teamサービスは、CSIRTやセキュリティ担当者、ネットワークシステム運用担当者などが一連のインシデントを体感し、達成目標（インシデントの深刻度や影響範囲を特定できるか、策定されたプロセスに従ってエスカレーションできるか、規定の時間内に行動できるかなど）をどのレベルでクリアできるか検証することが目的だ。