レッドチーム演習とは、レッドチームが疑似攻撃を行い、ブルーチームがそれを検知・対応するといった取り組みのことで、導入しているセキュリティ対策や体制が実際にサイバー攻撃を受けた際に有効に機能するかを検証・確認することが目的となります。
- レッドチーム(Red team):システムのサイバー攻撃耐性を評価するために、攻撃者を想定して外部からシステムに疑似攻撃を行う組織のことです。
- ブルーチーム(Blue team):サイバーセキュリティインシデントを検知、対応する組織のことで、CSIRTやSOCがこれにあたります。
セキュリティベンダによって提供されている一般的なレッドチーム演習サービスでは、セキュリティベンダがレッドチームの役割を担い、企業のブルーチームがインシデント発生報告やアラートの記録を行い、最終的に攻撃シナリオと照らし合わせることで、適切に攻撃を検知・対応できているかを確認・評価します。
図:サイバー攻撃対応の流れとそれに関連するサービス
