ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習（6/6 ページ）

[高橋睦美，ITmedia]

SOCにも学び、「打倒ペンテスター」を目指しモチベーションアップ

　演習は、振り返りを行い、改善すべきところに手を打つところまで終えてはじめて効果があったといえるだろう。今回のケースももちろんそうだ。

　まず「レッドチームによる攻撃を受けた後、追跡能力を身につけるために、プロダクトも含めてログの徹底的な精査を行い、どこまで攻撃の痕跡を追跡できるかを確認した。また、一連の攻撃を受けて私たちに不足している能力は何かを徹底的に議論し、MITERのATT&CK（サイバーセキュリティのフレームワーク）と照らし合わせながら強化すべきポイントを洗い出した」（黒澤さん）

　その上で、全体の認証システムの改善や各端末における二要素認証の導入など、優先順位を付けながら改善を施している。それも「単純にセキュリティを強化するだけでなく、運用面、ユーザビリティも考慮し、ユーザーの負担が少なくかつセキュリティも強化できる施策を採用している」（黒澤氏）という。

　SOCチームが得たものも多かった。「メンバーは、レッドチーム演習を通して非常に大きな刺激を受けた。来年、今回のように国内トップクラスのペンテスターが攻撃してきても防衛し切れるよう、『打倒ペンテスター』が一つの目標になっている」（黒澤さん）

　演習を行う側としても、SOCチームのレベルアップは重要なポイントという。

　「机上演習やあらかじめ分かっている演習では冷静な判断もできる。しかし実際のインシデントと同等の緊張感を持って対応に当たる際、どのような問題が生じるか表面化する点がレッドチーム演習の大きな意義の一つだと思っている」（片岡さん）

　できると思っていることができなかったり、思うようなスピード感で進められなかったりすることもある。そういった課題を洗い出し、サービスを動かしている部門との調整や優先順位度に関する取り決めを平時に整備しておく必要性を認識できる機会と言える。

　さらに「守る側にはどうしても『こういう風に守りたい』というビジョンがあり、それを前提にして対策を行いがち。しかし、それにプラスしてどのように攻撃されるか、攻撃者からどのように見られているかという視点を持つことも重要。レッドチーム演習はそれを可視化するもの」（片岡さん）

まずは成熟度を上げてから　レッドチーム演習実施のポイント

　黒澤さんは全体を振り返り、「レッドチームとブルーチームが、演習の中でお互い高め合い、セキュリティレベルを向上させていくのが本来目指すべき姿。今回のレッドチーム演習ではそれを本当に体現できたのではないか」とまとめている。

　ただ、レッドチーム演習自体はどんな企業にでもお勧めできるものではない──というのが、2社の所見だ。ブルーチームに当たる組織の能力・規模が、レッドチーム演習ができる程度に成熟しているかどうかがポイントとなるという。

　「Sansanは過去のペネトレーションテストを踏まえ、EDRで端末を堅牢化したり、PSIRT（製品やサービスのセキュリティ向上を目指す社内組織）を通してプロダクトセキュリティを強化したりと、防衛能力を高めてきた。このため、単純にマルウェアを踏んでしまったといった攻撃は通らなくなってきている」（黒澤さん）。一通り対策を打ったからといって慢心するのではなく、企業規模の拡大に比例した防衛能力がどこまであるのかを試すことが、今回の目的だった。

　一連の経緯を踏まえて黒澤さんは「組織が成熟しない段階でレッドチーム演習を受けると、振り回されて大変なことになってしまう。Sansanもそこからスタートしたが、まずはペネトレーションテストを受け、自分たちにどういった問題があるかを可視化し、自分たちの認識している防衛能力と実際の防衛能力のギャップを洗い出すことを勧めたい」とした。

　ルスランさんも「ベーシックな対策も、体制もできていない中でレッドチーム演習を行っても、一瞬でゴールが達成できてしまい、どちらにとってもうれしくないことになる。まず脆弱性診断を行った上で、シナリオベースのペネトレーションテストを実施。並行してSOCやCSIRTの教育、演習を行い、体制がきちんと動くかを確認できたところまできてはじめて、レッドチーム演習を実施するくらいでいいと思う」として、3〜4年程度の中期計画を立て、チーム作りを進めていくことを推奨している。