「やるなら徹底的に攻撃せよ」 Googleレッドチームのリーダーが語った演習の価値：CODE BLUE 2024レポート（2/2 ページ）

[高橋睦美，ITmedia]

レッドチームが信頼関係を築いておくべき社内組織はどこか？

　国内でも、レッドチーム演習を受けたり、社内にレッドチームを組織したりしたいと考える企業が増えつつある。しかしせっかく多くの時間と費用を投じても、うまくいくこともあれば、いかないこともある。

　フリードリ氏も「これまでたくさんのレッドチームと会ってきましたが、成功しているところもあれば失敗しているところもありました。中には、1年と持たなかったレッドチームもありました」と語る。

　では、成功と失敗を分けるのは何か。同氏は「孤立しているレッドチームはうまくいかない」という仮説を立てている。

　レッドチームは、攻撃者という悪者の役割を演じ、組織内でうまくいっていない部分を明らかにする仕事とも表現できる。そんな特殊な仕事を、他チームとの信頼関係がない中で隠れてやっていては、敵対心を持たれて抵抗されたり、本当の敵と思われて邪魔されたりしかねない。従って、他のチームとのパートナーシップとコラボレーションが重要になる。

　「パートナーシップを重視するレッドチームであれば、問題を指摘して誰の責任かを糾弾するのではなく、どこが至らないかを攻撃者の視点から明らかにし、どのように改善すべきかという建設的な役割を果たせるでしょう」（フリードリ氏）

　他の部署との協力を通して情報セキュリティの重要性に対する理解が深まり、各チームが「自分たちに足りないのはどこか」を考えるマインドセットが根付く。すると、レッドチームの仕事もいっそうやりやすくなるという好循環が生まれる。

　中でも幾つか重視すべきパートナーがあるとフリードリ氏は説明した。

　1つ目は、検知・対応に当たるブルーチームだ。「レッドチームとブルーチームは対立関係にあるべきだといった考え方を聞きますが、それはまさにアンチパターンです。絶対に協力すべきチームを一つだけ選べと言われたら、私はブルーチームを選ぶでしょう」（フリードリ氏）。

　同氏らのレッドチームは、互いに「ずる」はしないという信頼関係の下でログをリアルタイムにブルーチームと共有しており、本当にインシデントが発生した際にはすぐ対応に取り組めるようにしている。

　2つ目は、開発、運用などの各部署でセキュリティ対策を推進する「セキュリティ・チャンピオン」だ。演習時だけでなく、定期的にディスカッションを実施して各チームの計画を知り、レッドチームとしてどのようなサポートが可能なのか意見交換することで、セキュリティ・チャンピオンがレッドチームの代弁者となってくれる。

　3つ目は、もし組織内にあればの話だが、「脅威インテリジェンスチーム」だ。実際の脅威インテリジェンスを元にフィードバックを得ることで、レッドチームが考えているシナリオがリアリティーのあるものかどうかを確認できる。

　そして忘れてはいけないのが「法務チーム」だ。レッドチームの活動には、法律上、あるいはコンプライアンス上リスクが生じるものが含まれる可能性がある。レッドチームの目的と活動を説明し、関係性を築いておくことで、いざというときに「味方」になってくれるという。

　そして、相手が誰であれパートナーシップを築いていくには、「レッドチームは何をしていいのか、何はしていけないのか」を明確に示す「行動指針」を定め、文書化しておくべきだとフリードリ氏は推奨する。

　「レッドチームとしてフレキシビリティや自由度がほしいなら、ガードレールを明確にし、それをリーダーに伝えて安心してもらうことが重要です。絶対にここは越えないという一線を明確にしておかなければなりません」（フリードリ氏）

　Googleの場合、「ユーザーのデータには絶対に触れない」「ライブ環境のシステムをテストする」といったルールを自らに課しつつ、全ての活動についてログを取ることで透明性を確保している。「この結果、われわれは非常にフレキシブルに、自由にやりたいことをできる環境を整えています」（フリードリ氏）

　同氏はまた質疑応答の中で、「当初は今のような自由度がない状況で、明確にスコープを定めた上で小規模に活動を始め、少しずつ範囲を広げてきました」と述べ、いきなり大々的に始めるのではなく、少しずつ活動を広げていくことで、信頼を構築できるとも述べている。

レッドチーム構築のポイントはダイバーシティー

　こうしたGoogleのような先行事例を見聞きして、「自社でもレッドチームを作ろう」と意気込むのはいいが、どのようにチームを構築し、維持していくかは非常に重要だ。

　フリードリ氏はしばしば「レッドチームのメンバーにはどのような資格やスキルが必要でしょうか」と尋ねられるという。

　真っ先に思い付くのは、オフェンシブ・セキュリティのスキルを持つ優秀なセキュリティエンジニアを集めることだろう。だが「同じようなプロフィールやバックグラウンドを持つメンバーを集めると、最初はうまくいっても、毎回同じような演習になっていき、長期的にはうまくいきません」と同氏は指摘する。

　そもそもレッドチーム演習では、目的やスキルの異なる多様な攻撃者をシミュレーションすることになる。従って、似たような経歴の持ち主ばかりではなく、多様な経験の持ち主、特に好奇心やクリエイティビティのあるメンバーを集め、ダイバーシティーに富んだチームを作る方が、長期的に持続可能なレッドチームを構築できる。

　ただ、レッドチームの効果が出てくると、ブルーチーム側の能力も高まり、ちょっとやそっとでは課題が見つからなくなる。これ自体は素晴らしいことだが、「レッドチームの仕事がだんだん難しくなり、外部からプレッシャーをかけられながら努力してきた優秀なエンジニアが、燃え尽き症候群に陥ることもあります」（フリードリ氏）

　そのため、真面目に努力したからこそ起きがちなこうした事態を避けるため、あらためて、レッドチームとしてのミッションを明確に定めておくべきだ。

　フリードリ氏は「レッドチームの目的は、ブルーチームに見つからないように侵入することではありません。さまざまな手法を試す中で、どこでどのように攻撃が検出されたのか、うまく進めなかったのはなぜかといったインサイトを集めることこそ、一番重要な役割です。決して勝ち負けの話ではありません」と語る。

　レッドチームは、セキュリティエンジニアの中でも「特にストレスの高い仕事」だ。その中で燃え尽きることのないよう、まずチームとして心理的安全性を担保し、新人が周囲に比べてレベルが低いと萎縮することなく、逆にベテランであっても学び続ける環境を作っていくことが重要だという。

　また、熱中するあまりにぶっ続けで演習に取り組むのも避けるべきだろう。「演習だけにどっぷりつかるのではなく、時々はリサーチやツール開発といった業務に携わって息抜きできるようにしてください。実際、そうするとよりよいフィードバックが得られるようになります」（フリードリ氏）

　この他、成果を出せと常にむち打つことも避けるべきだ。残業に残業を重ねて成果を出しても、それは一時のことに過ぎない。チーム内で健全な状況を維持し「短期的な成果を目指すのではなく、メンバーが長期的に、持続的に仕事をできるようにしてください」と同氏はアドバイスした。

　フリードリ氏は最後に「もし、GoogleのPlasma Globeがただで手に入っても、決して信用しないでくださいね」というジョークで、講演を締めくくった。