2015年04月20日 08時00分 UPDATE
特集/連載

製品導入だけがセキュリティ対策ではない現実の手法で自社を標的型攻撃する「レッドチーム演習」とは?

現実世界の標的型攻撃を模倣し、実際に自社を攻撃することでセキュリティの不備を洗い出すレッドチーム演習。この効果は絶大だ。

[Peter Wood,Computer Weekly]
Computer Weekly

 レッドチーム演習とは、従来の形態を完全に変えたペネトレーションテストと、脆弱性の分析を合わせたものを指す。レッドチーム演習では、コンポーネントをセキュリティモデルの中で1つずつ個別に検証するのではなく、一定の条件下でサイバー攻撃のシミュレーションを実施する。

Computer Weekly日本語版 4月15日号無料ダウンロード

16609.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 このテストは、実際の攻撃で受ける被害に限りなく近いものを再現する、目標を見据えたシミュレーションを実施することで、現実世界の標的型攻撃をまねた形を取る。

 レッドチーム演習ではまず、脅威とリスクの分析を実施する。実際の業務に即して、実世界の(予測される)攻撃者、攻撃の動機、攻撃者のスキル、攻撃の方法を特定するためだ。最も可能性が高く被害も大きい脅威を特定したら、演習の対象である企業自身が、自社の実情に極めて近く、実際に起こりそうだと考えるシナリオを作成する。

 どのシナリオでも手始めに、情報収集および調査のフェーズに着手して、物理的な設備、セキュリティ担当者(のスキル)、インターネットへの接続のために使用しているテクノロジーなどを特定する。設備はオンラインで位置の確認とレビューを行い、さらに詳細な調査を実施する対象の最終候補リストを作成する。その結果に基づき選定した建物で実地調査を行い、より詳細な、複数ステージにわたる演習のプランを立てる。

スピアフィッシングのキャンペーン

 次に、その企業が登録しているドメイン、(使用している)アドレスの範囲とインターネットホストを調査し、同時に利用中のソフトウェアを列挙して、Outlook Web Access(OWA)などの、誰でもアクセスできるシステムを利用しているかどうかを確認する。

ITmedia マーケティング新着記事

news055.jpg

NTTデータとD2C、デジタルマーケティング分野で協業
NTTデータとD2Cは、デジタルマーケティング分野におけるビッグデータの解析を起点とした...

news038.jpg

高成長テック企業の傾向は? デロイト トウシュ トーマツ リミテッド 2018年 日本テクノロジー Fast 50
テクノロジー企業成長率ランキング。プレイド、BitStar、DATUM STUDIOなどが上位にランク...

news013.jpg

マーケターが自由を手に入れるためにやっておきたい3つのこと
2018年8月、日本のB2Bマーケターが集い、熱気に包まれたライブイベントが開催された。そ...