「レッドチーム」を活用し、
サイバー攻撃対応態勢が有効に機能するかを検証
「レッドチーム」は、攻撃者がどのように対象組織を攻撃するかの観点で、セキュリティ態勢や対策の有効性を確認するチームです。
サイバー攻撃への備えとして、ウイルス対策やIDS/IPSなどのセキュリティ対策製品の導入、対応ルール・手順の整備、対応チーム(CSIRT:Computer Security Incident Response Team)の組成といった施策を進めている組織(企業)は増加しています。
しかし、その態勢や対策は、高度な攻撃から実際に被害を防ぐことができるでしょうか?いざというときに有効に機能しなければ、投資の意味がありません。そのためには有効性の検証が必要です。
有効性を検証するためには、攻撃者がどのようなアプローチで自組織を攻略するのか、つまり、自組織で発生し得るサイバー攻撃を、攻撃手法や脅威動向を踏まえ、攻撃者同様の目線で想定する必要があります。
このような能力を持ったチームを自組織内に持つことは難しいと想定されますので、当社の「レッドチームオペレーションサービス」をご活用ください。
「レッドチームオペレーションサービス」では、ペネトレーションテスト、インシデントレスポンスを経験したプロフェッショナルが、お客様の環境を対象として、攻撃シナリオを作成し、疑似攻撃を実施します。
これにより、導入しているセキュリティ対策製品で攻撃を検知できるか、対応ルールや手順に不備があるかを確認可能であることに加え、実際のサイバー攻撃(インシデント)の発生から収束までを体験することで、SOC(Security Operation Center)によるインシデントの切り分けが適切に行われるか、重要度設定が想定通りであるか、報告を受け取ったCSIRTは事態の収拾に向けた活動ができるかなどを確認し、自組織が現在どのようなサイバー攻撃にどの程度対応可能かを明らかにできます。
実施後には、攻撃検知結果やサイバー攻撃への対応時に役立った情報が何かを元にセキュリティ対策製品の過不足、SOC・CSIRTにおいて強化すべき点といった課題が生じることとなりますが、その課題に対応していくことで自組織としてのサイバー攻撃対応態勢のレベルアップが可能です。
なお、攻撃シナリオは、一定の内容のみではなく、対象組織のシステム環境やこれまでに経験したサイバー攻撃などを考慮し、お客様とご相談の上で作成するため、対象範囲の絞り込みや目標レベルに応じた内容変更、SOC・CSIRTのトレーニングを目的とするなど、様々な形態でサービスをご提供可能です。
一般にレッドチーム演習と呼ばれる取り組みは、机上訓練でも実施することが可能です。
しかし、攻撃と思わしきイベントを切り分ける役割を担うSOCでは、机上訓練では結論が出ていることが多く、検知したアラートや残されたログから攻撃であるかを識別するといった経験を得ることが困難です。
「レッドチームオペレーションサービス」では、例えば、遠隔操作マルウェアによる社内侵害を想定したシナリオであれば、エンドポイント端末を疑似マルウェアに感染させるなど、サイバー攻撃と同様のインシデントが自組織で発生している状態を作り出すため、同様のアラートやログを取り扱った経験が得られます。
また、実環境で実施することにより、ネットワーク上に設置したセンサー(IDS、サンドボックス製品など)やOA端末に導入した対策製品が、シナリオで想定した攻撃に対して、有効に機能するかを確認可能です。
※実施するシナリオにより金額が変動致します。
①実施目的の設定、サービスご検討
「レッドチームオペレーションサービス」を受ける目的(現在の懸念、対象範囲など)を設定してください。
②環境ヒアリング [実施期間:1ヶ月]
インシデント対応マニュアル有無、対応体制、ネットワーク環境、システム構成、重要情報の有無、ログの取得状況、過去のセキュリティ診断実施結果などを伺います。
お客様のCSIRT、SOC、その他関連部門からレッドチームへの協力者のアサインをお願いいたします。 また、実施にあたりシステムへの影響を最小限に留めたい等のご要望がある場合は、ヒアリング時にご相談ください。
③攻撃シナリオ作成 [実施期間:1ヶ月]
実施目的、ヒアリング結果を踏まえ、適切な対象範囲と疑似攻撃シナリオを決定します。 当社にてシナリオ概要を作成後、お客様と協議の上、シナリオを最終決定します。
④疑似攻撃の実施 [実施期間:2週間 ※攻撃シナリオにより大きく異なります。]
攻撃シナリオに沿って、当社から疑似攻撃を実施します。 お客様においても、該当期間中のSOC・CSIRTの活動について記録をお願いします。
⑤対応振り返り(結果報告) [実施期間:2週間]
当社で実施した疑似攻撃の成否を整理します。お客様側でも、当該期間中に検知された内容についての整理をお願いします。 双方の整理が完了後、結果すり合わせのための打ち合わせを実施します。 なお、実施過程において脆弱なシステムが発見された場合には、その点に関しても、別途ご報告します。
⑥対応検討(ご質問対応) [実施期間:1ヶ月]
「レッドチームオペレーションサービス」の実施結果を踏まえ、対応をご検討ください。 ご検討にあたってのご質問については、対応振り返り後1ヶ月程度お受けすることが可能です。 また、セキュリティ対策の見直し、教育プログラム(研修)などが必要な場合、弊社にてご支援させていただくことも可能です。
1200万円~(税別)