現実世界の標的型攻撃を模倣し、実際に自社を攻撃することでセキュリティの不備を洗い出すレッドチーム演習。この効果は絶大だ。
レッドチーム演習とは、従来の形態を完全に変えたペネトレーションテストと、脆弱性の分析を合わせたものを指す。レッドチーム演習では、コンポーネントをセキュリティモデルの中で1つずつ個別に検証するのではなく、一定の条件下でサイバー攻撃のシミュレーションを実施する。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
このテストは、実際の攻撃で受ける被害に限りなく近いものを再現する、目標を見据えたシミュレーションを実施することで、現実世界の標的型攻撃をまねた形を取る。
レッドチーム演習ではまず、脅威とリスクの分析を実施する。実際の業務に即して、実世界の(予測される)攻撃者、攻撃の動機、攻撃者のスキル、攻撃の方法を特定するためだ。最も可能性が高く被害も大きい脅威を特定したら、演習の対象である企業自身が、自社の実情に極めて近く、実際に起こりそうだと考えるシナリオを作成する。
どのシナリオでも手始めに、情報収集および調査のフェーズに着手して、物理的な設備、セキュリティ担当者(のスキル)、インターネットへの接続のために使用しているテクノロジーなどを特定する。設備はオンラインで位置の確認とレビューを行い、さらに詳細な調査を実施する対象の最終候補リストを作成する。その結果に基づき選定した建物で実地調査を行い、より詳細な、複数ステージにわたる演習のプランを立てる。
次に、その企業が登録しているドメイン、(使用している)アドレスの範囲とインターネットホストを調査し、同時に利用中のソフトウェアを列挙して、Outlook Web Access(OWA)などの、誰でもアクセスできるシステムを利用しているかどうかを確認する。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月1日号:実用化が進むバーチャルリアリティ
Computer Weekly日本語版 3月18日号:コンピュータ教育最大の課題は?
Computer Weekly日本語版 3月4日号:Windows 10で試されるIT部門
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
集客装置としての「イカゲーム」(無料eBook)
残酷なシーンが多いことで知られる作品なのに世界のブランドはなぜタイアップしたがるの...
2025年の広告・マーケティング予算、「増加」企業の割合は?
コムエクスポジアム・ジャパンが企業のマーケティング活動における予算や主要な関心事を...
トランプ大統領にすり寄ってMetaが期待する「ごほうび」とは?
Metaが米国内でファクトチェックを廃止し、コミュニティノート方式へ移行する。その背景...