パープルチームとは｜レッド／ブルー両経験者が語る、攻守を統合するセキュリティ人材育成｜ブログ

blogtop

サイバー攻撃の高度化が進むなか、セキュリティ対策の現場では「レッドチーム」と「ブルーチーム」、双方の連携が欠かせなくなっています。レッドチームは攻撃者の視点に立ち、システムに潜む脆弱性や設定不備、インシデント対応の成熟度を検証する役割を担います。一方のブルーチームは、セキュリティ製品が発するログを分析し、被害が深刻化する前に検知・対処する運用を担います。

いずれも高度な専門性が求められる領域だけに、サイバーセキュリティの世界では「レッドかブルーか」と二分して語られがちです。しかし近年は、両方の知見を統合した「パープルチーム」の重要性が国際的にも認識されつつあります。

Purple Team

NRIセキュアテクノロジーズ（以下、NRIセキュア）では、社内トレーニー制度を通じて、レッドチームとブルーチームの間で交換留学を行い、攻守を横断できる人材の育成を進めています。本記事では、実際に交換留学を経験した2名のエンジニアに、立場を入れ替えて得た知見と、パープル人材だからこそ提供できる新たな価値について伺いました。

碓井晃樹（うすいこうき）
新卒で野村総合研究所入社後、NRIセキュアテクノロジーズへ出向。金融業界をはじめとする様々な業界でペネトレーションテストやTLPTを中心とした業務に従事。現在はSOCサービスのアナリストとしてセキュリティログ監視業務に携わるほか、検知ルール作成、SIEM基盤構築/運用業務を担当している。
服部佑生（はっとりゆうき）
新卒で野村総合研究所に入社後、NRIセキュアテクノロジーズへ出向。SOCサービスのアナリストとしてセキュリティログ監視業務に従事し、「SIEM監視サービス」の開発および提供に携わる。現在はオフェンシブセキュリティ領域において、脆弱性診断、ペネトレーションテスト、脅威ハンティングに従事。

レッドチームとブルーチームの交換留学｜社内トレーニー制度の狙い

fig-2901 碓井（写真左）、服部（写真右）

Q：お二人がNRIセキュアに入社された当初の業務を教えてください。

碓井：私は2019年に入社しました。レッドチーム側の業務を通してセキュリティの技術をしっかり学びたいという思いがあり、希望が叶って配属されました。具体的には、攻撃者の視点に立ってお客様のシステムを確認し、どのような脆弱性があり、攻撃に対しどのようにインシデント対応ができるかを評価するペネトレーションテストやレッドチーム演習、脅威ベースのペネトレーションテスト（TLPT）といった業務を担当してきました。

服部：私たちは同期なのですが、私はマネージドSOCサービスを運用する部署に配属され、碓井さんとは逆の立場であるブルーチーム側で業務を行ってきました。お客様システムに導入されているさまざまなセキュリティ製品が発するログをSIEMと呼ばれる基盤に集約し、アラートの内容を精査して本当のインシデントかどうかを切り分ける監視分析業務で、毎日大量に検知するアラートを精査し、99％以上を占める誤検知を排除していく業務に携わったほか、SIEMの基盤運用、検知ルールの作成など、SOCに関する幅広い業務に関わってきました。

Q：どちらもやりがいのある重要な業務ですが、なぜ、逆の立場を経験しようと考えたのでしょうか？

碓井：レッドチームの業務には、システム面での設定不備や脆弱性のチェックだけでなく、攻撃をきちんと検知して適切なインシデントハンドリングを行えるかという、ブルーチームの体制・成熟度の評価も含まれます。自分はずっとレッドチーム側に在籍してきたため、ブルーチームとしての「守る側の視点」に関する知見の少なさを感じていました。ブルーチームの方々に、個別に「こういう時にはどのように評価すべきか」を尋ねるだけでは得られない背景知識やノウハウを広く身に付けるため、異動を希望しました。

服部：SOCではTLPTを受けると、攻撃を検知して本当にさまざまなアラートが上がってきます。私はその中で、攻撃側が入力したコマンド一つ一つに対し「これは一体どんな意図なのだろうか」と調べながらログの分析に当たっていました。攻撃に関する知識を身に付け、瞬時に見抜けるようになれば、SOCのアナリストとして一段強力になれるのではと期待し、異動を希望しました。

Q：NRIセキュアでは、このように立ち位置を変える異動は珍しくないのでしょうか？

服部：「社内トレーニー制度」という形で一時的な交換留学を行うこともありますし、部署異動も比較的流動的です。幸い弊社にはセキュリティという切り口でさまざまな部署がありますので、意欲に応じてさまざまな経験を積みやすいと思います。

碓井：ただ、レッドチームとブルーチームとの交換は、意外なことに初めてでしたね。実地に業務を経験してみると、やはり、人づてに話を聞く以上のものが身に付くと感じています。

服部：日々の業務をこなしながら片手間に勉強するよりも、業務ごと変えることによって集中的に、そして体系的に知見を吸収できるメリットがあると考えています。

Company-wide exchange program

攻守を入れ替えて見えた、SOCアナリストとレッドチームそれぞれの専門性

Q：異動後、新たな業務に慣れるまで時間はかかりましたか？

碓井：SOCでの分析やアナリストとしての業務は初めてでしたから、それこそ新人と同じように、一から学ぶ気持ちで取り組みました。ただ、レッドチーム側で学んできた攻撃テクニックの経験に加え、周囲の実力ある先輩方から学ぶことで、比較的早くキャッチアップできたと思っています。

服部：レッドチームはSOCとは表裏の世界であるため、その点では比較的スムーズに理解を進めることができました。また、レッドチームには「習うより慣れろ」といった文化もあり、否応なしに知識を吸収していった側面もあります。

Q：逆の立場になってみて、どんなことが印象的でしたか？

碓井：服部さんも言っていたとおり、SOCでは一般に誤検知は多いものだと認識していましたが、まず一番にその通りだと感じました。

もう一つ印象的だったのは、想像以上に多種多様な製品のログを分析対象にしていたことです。EDRや認証ログ、WAF、IDS/IPS、プロキシ、さらにはサーバログに至るまでさまざまなカテゴリが対象となり、しかもカテゴリごとに複数の異なる製品があります。SOCアナリストとしては、あらゆるお客様が利用している多様な製品のログを分析するために多くの製品の特性を覚える必要があり、「SOCアナリストってすごい業務だな」と痛感しました。

fig-2980

レッドからブルーへ異動した碓井晃樹

Q：レッドチームの視点では、対象となるシステムに侵入できれば「勝ち」と言えますが、ブルーチーム側に立つことで、そう簡単ではないことも実感できましたか？

碓井：おっしゃるとおり、仮にシステムに侵入できたとしても、その挙動が検知され、そこからインシデントハンドリングに適切につながっていけば攻撃を押さえ込むことができます。レッドチームにいる頃から念頭に置いていたことですが、「侵入成功」イコール「勝ち」ではないことを、いっそう感じるようになりました。

またレッドチームの場合は、シナリオ全体だけでなく、各フェーズごとに攻撃が成立するか、しないかを細かくチェックすることがあります。防御側の視点では、たとえある一点で検知できなくても、その後のフェーズで捕まえることができれば、全体を通して深刻な事態に陥る前に検知できていることになります。「特定の製品で検知を回避された」という一点を問題視するよりも、前後の文脈も加味しながら、多層防御によって「ここで回避されても、別のところで検知できている」と、統合的に評価することの重要性を感じています。

Q：では、ブルーチームからレッドチームに異動してみての印象はどうでしたか？

服部：私はレッドチームの技術力の高さに驚きを感じましたね。SOCで監視を行っていた当時は、EDRの検知能力やログ収集能力の高さに信頼を抱いていましたが、レッドチームの皆さんが、そのEDRを回避するツールを自作し、ペネトレーションテストを実施していくのを目の当たりにし、その技術力の高さに驚くと同時に、ある種の脅威も感じました。

また、EDRだけではなく、ネットワークセキュリティ製品も組み合わせて多層防御を講じて万全の体制を取っていたつもりでも、それぞれをバイパスするテクニックが存在することを知り、「これで大丈夫」と安心しきるのは危ないという気付きを得ました。

fig-2954

ブルーからレッドへ異動した服部佑生

Q：守っているつもりで守れていないこともあるのでしょうか。

服部：まず前提として、さまざまなセキュリティソリューションを導入してシステム的な防御を講じ、さらに監視や防御の態勢を整え、適切なルールを作成して誤検知のチューニングを行い、きちんと運用していくことで、攻撃者が情報窃取のような最終的な目的達成に至ることは非常に困難になるのは事実です。

一方で、通常のシステムにあらかじめインストールされているファイルや機能を用いた「Living off the Land」（環境寄生型攻撃）と呼ばれる攻撃テクニックや、正規のユーザーのように振る舞いながら偵察行為を行い、侵入していく手法を用いられると、通常のアクセスと攻撃との区別が困難になります。たとえSIEMや自動検知のシステムがあっても、多くの誤検知が発生するため適切なルール作成が事実上困難になります。

レッドチームとして業務を行う際にもそうした実情を踏まえ、攻撃を行う際には、すぐアラートが飛んでしまうような攻撃ツールは用いず、通常のユーザーのように振る舞うよう心がけています。また、防御側がどのような検知ルールを作成しているかも想定して検知を回避していくこともポイントで、そこはブルーチームでの知見が役立ちました。

レッドチームでの経験を経て、攻撃者目線ではこうした部分がシステム的な防御も人の目も回避し、すり抜けられるポイントになっているのだと感じました。実際、高度な攻撃アクターは、防御に関する知見を前提にして、時間を掛けて検知を回避しながら侵害するのが定石になっているように思います。

Multilayer detection

パープル人材だから提供できる価値｜脅威ハンティングと検知ルール設計

Q：逆の立場を経験し、自分の中で、レッドチームとブルーチームの知見を融合してより高い視座が得られたと感じたことはありますか？

碓井：レッドチームに所属していた際には、「MITRE ATT&CK」やサイバーキルチェーンのような一連の流れを踏まえてどのように攻撃を行うかを考え、さまざまなツールやテクニックを用いてきました。こうした知見を持ちつつSOCアナリストとして分析を行うため、ログの中から、レッドチームに所属していたときに自分が使っていたツールやテクニックの痕跡を見つけると、その時点で「攻撃者は次に何をしようとしているか」が頭にぱっと浮かびます。次はどこを確認すべきかも見当が付くため、攻撃全体の理解や分析スピードが格段に上がりました。これはまさに、レッドチームでの知見がブルーチームで生きた例だと思います。

また、ブルーチームの重要な役割の一つに、SOCにおける攻撃検知ルールの作成がありますが、ここでも攻撃者の目線を持つことで、「おそらくこのような攻撃を仕掛けてくるはずだから、こんなルールを作成して検知しよう」と、レッドチームの知見が生きてくると思っています。

一方で、ブルーチームへの異動後に特に意識するようになったのが、運用負荷の観点です。多種多様な環境・製品から発火する多数のアラートを限られた時間内で分析するには、誤検知を最小限に抑えつつ、機械的に分析可能な観点を検知ルールに予め実装するなどして、一つ一つの分析に要する負荷を極力抑えることが肝となります。両方のチームを経験したからこそ、ブルーチームとしてSOCアナリストの分析負荷を抑える設計にしつつ、レッドチームの目線で抑えるべきところをしっかり抑える検知ロジックを作成できているように思います。

fig-2961

服部：碓井さんはかなり視野が広がっていますね。私の場合は、まさしくSOCとレッドチームとの間と言えそうな「脅威ハンティング」の支援で、両方の知見が生きていると感じています。

APTなどの攻撃の場合、攻撃者は数ヶ月単位で潜伏します。脅威ハンティングは、そのようにシステムに潜んでいる攻撃者を、インシデントが起こる前に見つけることを目的にしたもので、SIEMやEDRのログを分析して潜伏の痕跡を見つけ出していきます。調査方法としてはSOCと似通っていますが、調査に必要なログがSIEMで一元的に管理されておらず、組織内で分散して保存されているログの調査を行うケースもありました。

こうした場面でレッドチーム的な目線を組み合わせ、「この場合、攻撃者は業務端末からこちらのサーバセグメントに横展開を図るはずだ」といった仮説を立てることで、例えばサーバセグメントのネットワークへの疎通を確認し、到達性のあるサーバに調査範囲を絞り込むといったアプローチを取ることで、ログ調査の範囲を最小まで絞り込むことが可能だと思い至りました。

既存のセキュリティソリューションでは検知できない脅威を見つけ出すのが脅威ハンティングの使命です。これを実現するには、脅威アクターが用いる攻撃テクニックを一つ一つ理解できるレッドチームの知見と、その攻撃が行われた場合にどのようなログや痕跡が残るかを把握するブルーチームとしての知見の両方が必須と言えます。まさに両方を兼ね備えたパープル的な人材が活躍できる領域だと思います。

碓井：脅威ハンティングでは、普段の検知ルールで見逃されたものをあぶり出していきます。また、ペネトレーションテストやTLPTなどによって検知性能は確認できますが、それはあくまでリアルタイムでの検知能力が対象になります。後から脅威だと判明したものを確認していくことも脅威ハンティングの一つの効能であり、両輪で進めていくべき取り組みだと感じています。

Security Improvement Cycle

AI時代のセキュリティ人材に求められる役割とパープル人材のキャリア展望

fig-2956
Q：話題は変わりますが、今、AIが猛烈な勢いで進化し、セキュリティの分野でも適用が検討されています。NRIセキュアではどうですか？

碓井：先ほども申し上げたとおり、ブルーチームの立場では、SOCアナリストの運用負荷、分析負荷をいかに下げるかが問われます。そこにAIを用いることで大きなブレイクスルーが到来すると期待し、AIを用いたログ分析の検証を進めているところです。日本語で書いた分析手順書をAIに読み込ませ、ログを分析させることで、人間と遜色ない分析結果が得られるなど、手応えを感じています。

Q：そうなると、SOCアナリストの役割も変化するでしょうか？

碓井：そうですね。AIによって運用負荷が軽減されれば、その分、お客様とより深くコミュニケーションを取ったり、より高精度な検知を行う部分に力を注ぐことができます。

また、「何を大切にし、何を守るのか」はお客様によって異なりますから、お客様との対話を通して方針を決め、ナビゲートしていくコンサルタントとしての役割は、ますます重要になるでしょう。その後の運用は、それこそ手順書をまとめればAIが勝手に回してくれます。よりプロアクティブに、より早くサイクルを回して防御する態勢を整える橋渡し役としての価値が高まると期待しています。

Q：レッドチームの領域におけるAI活用はどのように進んでいますか？

服部：

生成AIが登場する前から、Webアプリケーションの脆弱性診断などの領域では自動化ツールが登場し、比較的自動化が進んできました。ですが、こうした自動化ツールだけで十分かというとそうではありません。例えば、設計段階で権限コントロールの不備といった脆弱性が埋め込まれるケースは多々ありますが、そこはいまだに自動化ツールだけでは完全な検査ができません。

ペネトレーションテストやTLPTとAIの関係にも同じことが言えると考えています。AIによって大部分が自動化されていき、レッドチームのオペレーターとしての役割も大きく変化すると思いますが、責任を担保する意味においても人間が見なければいけない部分も残るでしょう。AIによるチェックと人の手によるチェックの２ラインで実施する形になっていくと思います。
また、最終的にお客様、特に経営層に報告差し上げる際に、AIが出した結果も一度コンサルタントの目を通してお客様の事情や環境を把握した上での示唆を加えることが大事になってくると思っています。

Q：加えて、技術的に正しいことでも、会社の状況や予算によって調整が求められる場合があります。お客様のご要望に応じて最適なものを提示するという点でもコンサルタントの役割は高まりそうですね。

碓井：ガチガチに固めたいという企業もあれば、ユーザビリティも重視したいという具合に、どこまでセキュリティ対策を実施するかはお客様によって異なります。お客様と会話しながらその温度感を共有し、ちょうどいい落とし所を見つけていく役割が、これからのコンサルタントにはますます求められてくると思います。

服部：レッドチームとしてお客様にいろいろと課題をご報告しても、「どれから直せばいいのかわからない」と相談されるケースは少なくありません。何を優先すべきかをアドバイスできるところも、人間ならではの価値だと思います。

Q：改善に向けたアドバイスを提供する上でも、レッドチームとブルーチーム、両方の知見が役立つでしょうか？

碓井：そうですね。レッドチームとして提示する指摘事項には、運用負荷の少なさや対策に要する工数といったブルーチーム側の観点も盛り込んでいますが、実際にブルーチームで経験を積むからこそ、より細かい粒度でご報告できることは強みになると思います。どのように対策すべきかという疑問にも自信を持って答えられるのは、レッドとブルーを掛け合わせたパープル人材ならではの強みではないでしょうか。

Q：セキュリティというとレッドチームとブルーチームのイメージが強く、特にレッドチーム側の人気が高いようですが、若いうちから両方の視点を持っておくことはやはり重要でしょうか？

碓井：これからセキュリティ業界を志望する方々には、両方学ぶことをお勧めしたいと思います。「敵を知り己を知れば百戦あやうからず」ではありませんが、攻撃者のことを知り、さらに自分のシステムがどうなっており、どのようなログが出るのかを知ることは、よりセキュアな環境を構築する手助けとなり、ひいてはお客様に貢献できるセキュリティコンサルタントに求められる能力になっていくと思います。

特に、運用者の気持ちが分かることは非常に大切なことです。攻撃者の視点であれこれ指摘して「修正してください」というのは簡単ですが、その裏で運用者にどのくらい負担がかかっているかまで理解しなければ絵に描いた餅で、実際の対策に落ち着かせることができません。やはり、攻撃者の視点と防御側・運用者の視点の両方が必ず必要になってくると思います。

fig-2990

Q：最後に、お二人は攻撃と防御両方の視点を得て、今後、どのようにキャリアを積んでいきたいと考えていますか？

服部：私はレッドチームの領域ではまだまだ駆け出しの部類です。周囲には深い知識を持つ専門家がたくさんいますから、もうしばらくレッドチームとしての知見を深め、引き続き、攻撃と防御両方の視点でセキュリティを語れるエンジニアを目指していきたいと思っています。また、蓄積してきたブルーチームとレッドチームの知見を生かしながら、そこにAIを組み合わせた新しいサービスの開発等に関与していきたいと考えています。

碓井：私も服部さんと同じように、両方の知見を組み合わせ、セキュリティコンサルタントとしてお客様に価値を届けていきたいと考えています。また、先ほどの話に出てきたAIを活用することで、業務が大きく変わっていく可能性があると感じています。AIでレッド、ブルー、両方のタスク量を減らし、空いた時間でより新しいサービスやお客様に寄り添ったサービス提供に注力できる人材になれればと考えています。

もしかすると数年後には、アナリストが分析すらしないで済む世界が到来しているかもしれません。ただ、それで分析に要する時間は短くなっても、最後の判断には人間が必要になります。AIの答えを精査したり、AIにどのように分析させるか、情報を教えて方向付けるという段階でも支援ができるエンジニアになっていきたいと思います。

まとめ｜パープル人材が拓く、これからのセキュリティ対策

本記事では、レッドチームとブルーチームの両方を経験した2名のエンジニアの声を通じて、攻守を横断する「パープル人材」がもたらす価値を見てきました。ポイントを以下に整理します。

＜『パープル人材』に関する3つのポイント＞
① 体系的な学習機会の提供：日々の業務の延長で片手間に学ぶのではなく、社内トレーニー制度のように業務そのものを切り替えることで、集中的かつ体系的に知見を吸収できる。
② 攻守双方の視点による相乗効果：レッドチームの攻撃テクニックを知るSOCアナリストは、ログから攻撃者の次の一手を予測でき、分析スピードが向上する。逆に、ブルーチームの運用知見を持つレッドチームメンバーは、検知を回避する高度な手法を理解しつつ、現実的な改善提案ができる。
③ 運用負荷を踏まえた現実的な対策提案：「修正してください」と指摘するだけでなく、運用者の負担を理解した上で優先順位を示せることが、実効性のあるセキュリティ対策につながる。

AI時代に高まる、パープル人材の価値

生成AIの進化により、ログ分析や脆弱性検査の自動化は加速しています。しかし、お客様ごとに異なる事業環境や守るべき資産を踏まえた判断、AIの分析結果を精査して経営層に示唆を提示する役割は、引き続き人間が担う領域です。攻撃者の手口を理解し、防御側の事情にも精通したパープル人材は、AIを使いこなしながらお客様に伴走するセキュリティパートナーとして、今後ますます重要な存在になると考えられます。