サイバー攻撃の高度化が進むなか、セキュリティ対策の現場では「レッドチーム」と「ブルーチーム」、双方の連携が欠かせなくなっています。レッドチームは攻撃者の視点に立ち、システムに潜む脆弱性や設定不備、インシデント対応の成熟度を検証する役割を担います。一方のブルーチームは、セキュリティ製品が発するログを分析し、被害が深刻化する前に検知・対処する運用を担います。
いずれも高度な専門性が求められる領域だけに、サイバーセキュリティの世界では「レッドかブルーか」と二分して語られがちです。しかし近年は、両方の知見を統合した「パープルチーム」の重要性が国際的にも認識されつつあります。
NRIセキュアテクノロジーズ(以下、NRIセキュア)では、社内トレーニー制度を通じて、レッドチームとブルーチームの間で交換留学を行い、攻守を横断できる人材の育成を進めています。本記事では、実際に交換留学を経験した2名のエンジニアに、立場を入れ替えて得た知見と、パープル人材だからこそ提供できる新たな価値について伺いました。
-
碓井 晃樹(うすい こうき)
- 新卒で野村総合研究所入社後、NRIセキュアテクノロジーズへ出向。金融業界をはじめとする様々な業界でペネトレーションテストやTLPTを中心とした業務に従事。現在はSOCサービスのアナリストとしてセキュリティログ監視業務に携わるほか、検知ルール作成、SIEM基盤構築/運用業務を担当している。
-
-
服部 佑生(はっとり ゆうき)
- 新卒で野村総合研究所に入社後、NRIセキュアテクノロジーズへ出向。SOCサービスのアナリストとしてセキュリティログ監視業務に従事し、「SIEM監視サービス」の開発および提供に携わる。現在はオフェンシブセキュリティ領域において、脆弱性診断、ペネトレーションテスト、脅威ハンティングに従事。
レッドチームとブルーチームの交換留学|社内トレーニー制度の狙い
碓井(写真左)、服部(写真右)
Q:お二人がNRIセキュアに入社された当初の業務を教えてください。
Q:どちらもやりがいのある重要な業務ですが、なぜ、逆の立場を経験しようと考えたのでしょうか?
Q:NRIセキュアでは、このように立ち位置を変える異動は珍しくないのでしょうか?
攻守を入れ替えて見えた、SOCアナリストとレッドチームそれぞれの専門性
Q:異動後、新たな業務に慣れるまで時間はかかりましたか?
Q:逆の立場になってみて、どんなことが印象的でしたか?
レッドからブルーへ異動した碓井 晃樹
Q:レッドチームの視点では、対象となるシステムに侵入できれば「勝ち」と言えますが、ブルーチーム側に立つことで、そう簡単ではないことも実感できましたか?
Q:では、ブルーチームからレッドチームに異動してみての印象はどうでしたか?
ブルーからレッドへ異動した服部 佑生
Q:守っているつもりで守れていないこともあるのでしょうか。
パープル人材だから提供できる価値|脅威ハンティングと検知ルール設計
Q:逆の立場を経験し、自分の中で、レッドチームとブルーチームの知見を融合してより高い視座が得られたと感じたことはありますか?
AI時代のセキュリティ人材に求められる役割とパープル人材のキャリア展望
Q:話題は変わりますが、今、AIが猛烈な勢いで進化し、セキュリティの分野でも適用が検討されています。NRIセキュアではどうですか?
Q:そうなると、SOCアナリストの役割も変化するでしょうか?
Q:レッドチームの領域におけるAI活用はどのように進んでいますか?
Q:加えて、技術的に正しいことでも、会社の状況や予算によって調整が求められる場合があります。お客様のご要望に応じて最適なものを提示するという点でもコンサルタントの役割は高まりそうですね。
Q:改善に向けたアドバイスを提供する上でも、レッドチームとブルーチーム、両方の知見が役立つでしょうか?
Q:セキュリティというとレッドチームとブルーチームのイメージが強く、特にレッドチーム側の人気が高いようですが、若いうちから両方の視点を持っておくことはやはり重要でしょうか?
Q:最後に、お二人は攻撃と防御両方の視点を得て、今後、どのようにキャリアを積んでいきたいと考えていますか?
まとめ|パープル人材が拓く、これからのセキュリティ対策
本記事では、レッドチームとブルーチームの両方を経験した2名のエンジニアの声を通じて、攻守を横断する「パープル人材」がもたらす価値を見てきました。ポイントを以下に整理します。
- <『パープル人材』に関する3つのポイント>
① 体系的な学習機会の提供:日々の業務の延長で片手間に学ぶのではなく、社内トレーニー制度のように業務そのものを切り替えることで、集中的かつ体系的に知見を吸収できる。
- ② 攻守双方の視点による相乗効果:レッドチームの攻撃テクニックを知るSOCアナリストは、ログから攻撃者の次の一手を予測でき、分析スピードが向上する。逆に、ブルーチームの運用知見を持つレッドチームメンバーは、検知を回避する高度な手法を理解しつつ、現実的な改善提案ができる。
- ③ 運用負荷を踏まえた現実的な対策提案:「修正してください」と指摘するだけでなく、運用者の負担を理解した上で優先順位を示せることが、実効性のあるセキュリティ対策につながる。
AI時代に高まる、パープル人材の価値
生成AIの進化により、ログ分析や脆弱性検査の自動化は加速しています。しかし、お客様ごとに異なる事業環境や守るべき資産を踏まえた判断、AIの分析結果を精査して経営層に示唆を提示する役割は、引き続き人間が担う領域です。攻撃者の手口を理解し、防御側の事情にも精通したパープル人材は、AIを使いこなしながらお客様に伴走するセキュリティパートナーとして、今後ますます重要な存在になると考えられます。
- <自社でパープル人材を育てるためのヒント>
- ■ レッド/ブルーいずれかに偏らない異動・ローテーションの機会を設ける
- ■ 攻撃シナリオと検知ルールを相互にレビューする社内勉強会を定例化する
- ■ MITRE ATT&CKなど共通フレームワークを軸に、攻守の議論を共通言語で行う
サイバー攻撃と防御の境界がますます曖昧になるなか、攻守両面を理解する人材こそが、組織のセキュリティ成熟度を引き上げる鍵となります。NRIセキュアは、レッドチーム演習・TLPT・マネージドSOCをはじめとする幅広いサービスを通じて、お客様のセキュリティ強化に貢献してまいります。
<関連サービス>
脅威ハンティングレディネス構築支援サービス