現実の手法で自社を標的型攻撃する「レッドチーム演習」とは?:製品導入だけがセキュリティ対策ではない
現実世界の標的型攻撃を模倣し、実際に自社を攻撃することでセキュリティの不備を洗い出すレッドチーム演習。この効果は絶大だ。
レッドチーム演習とは、従来の形態を完全に変えたペネトレーションテストと、脆弱性の分析を合わせたものを指す。レッドチーム演習では、コンポーネントをセキュリティモデルの中で1つずつ個別に検証するのではなく、一定の条件下でサイバー攻撃のシミュレーションを実施する。
Computer Weekly日本語版 4月15日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月15日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
このテストは、実際の攻撃で受ける被害に限りなく近いものを再現する、目標を見据えたシミュレーションを実施することで、現実世界の標的型攻撃をまねた形を取る。
レッドチーム演習ではまず、脅威とリスクの分析を実施する。実際の業務に即して、実世界の(予測される)攻撃者、攻撃の動機、攻撃者のスキル、攻撃の方法を特定するためだ。最も可能性が高く被害も大きい脅威を特定したら、演習の対象である企業自身が、自社の実情に極めて近く、実際に起こりそうだと考えるシナリオを作成する。
どのシナリオでも手始めに、情報収集および調査のフェーズに着手して、物理的な設備、セキュリティ担当者(のスキル)、インターネットへの接続のために使用しているテクノロジーなどを特定する。設備はオンラインで位置の確認とレビューを行い、さらに詳細な調査を実施する対象の最終候補リストを作成する。その結果に基づき選定した建物で実地調査を行い、より詳細な、複数ステージにわたる演習のプランを立てる。
スピアフィッシングのキャンペーン
次に、その企業が登録しているドメイン、(使用している)アドレスの範囲とインターネットホストを調査し、同時に利用中のソフトウェアを列挙して、Outlook Web Access(OWA)などの、誰でもアクセスできるシステムを利用しているかどうかを確認する。
続きはComputer Weekly日本語版 4月15日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月1日号:実用化が進むバーチャルリアリティ
Computer Weekly日本語版 3月18日号:コンピュータ教育最大の課題は?
Computer Weekly日本語版 3月4日号:Windows 10で試されるIT部門
Copyright © ITmedia, Inc. All Rights Reserved.