現実世界の標的型攻撃を模倣し、実際に自社を攻撃することでセキュリティの不備を洗い出すレッドチーム演習。この効果は絶大だ。
レッドチーム演習とは、従来の形態を完全に変えたペネトレーションテストと、脆弱性の分析を合わせたものを指す。レッドチーム演習では、コンポーネントをセキュリティモデルの中で1つずつ個別に検証するのではなく、一定の条件下でサイバー攻撃のシミュレーションを実施する。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
このテストは、実際の攻撃で受ける被害に限りなく近いものを再現する、目標を見据えたシミュレーションを実施することで、現実世界の標的型攻撃をまねた形を取る。
レッドチーム演習ではまず、脅威とリスクの分析を実施する。実際の業務に即して、実世界の(予測される)攻撃者、攻撃の動機、攻撃者のスキル、攻撃の方法を特定するためだ。最も可能性が高く被害も大きい脅威を特定したら、演習の対象である企業自身が、自社の実情に極めて近く、実際に起こりそうだと考えるシナリオを作成する。
どのシナリオでも手始めに、情報収集および調査のフェーズに着手して、物理的な設備、セキュリティ担当者(のスキル)、インターネットへの接続のために使用しているテクノロジーなどを特定する。設備はオンラインで位置の確認とレビューを行い、さらに詳細な調査を実施する対象の最終候補リストを作成する。その結果に基づき選定した建物で実地調査を行い、より詳細な、複数ステージにわたる演習のプランを立てる。
次に、その企業が登録しているドメイン、(使用している)アドレスの範囲とインターネットホストを調査し、同時に利用中のソフトウェアを列挙して、Outlook Web Access(OWA)などの、誰でもアクセスできるシステムを利用しているかどうかを確認する。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月1日号:実用化が進むバーチャルリアリティ
Computer Weekly日本語版 3月18日号:コンピュータ教育最大の課題は?
Computer Weekly日本語版 3月4日号:Windows 10で試されるIT部門
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。