2025/05/23
今回のブログは、私が普段ペネトレーションテストやレッドチーム演習を行うことで得た攻撃者視点の重要性についてまとめていきます!
防御の視点からは中々意識しないことや現実と理想のギャップ等、実際に現場に行ったからこそ得られた内容になるため、最後まで閲覧していただけると嬉しいです!
想定読者
本ブログは、組織のBlue(防御側)の業務を行っている方をメインの想定読者とし、攻撃者視点の重要性を伝える記事となります。また、ペネトレやレッドチームの業務を行っている方、ペネトレやレッドチームに興味がある方にもぜひ読んでいただきたい内容となっております。
攻撃者視点の重要性の前に、ペネトレーションテストとレッドチーム演習について簡単にまとめておきます。
ペネトレーションテスト
ペネトレーションテストとは、組織が保有するシステム、及びセキュリティ対策に対して、攻撃者が実際に用いる攻撃手法を使用することで、脅威に対する耐性とセキュリティ対策の有効性を調査するものです。
レッドチーム演習
レッドチーム演習とは、ペネトレーションテストのスコープに加えて、ブルーチームを評価の対象に含め、組織の防御能力やインシデント対応力を調査するものです。
ペネトレーションテストとレッドチーム演習の大きな違いとしては、「進め方」と「スコープ」、「評価観点」の3つが挙げられます。
| ペネトレーションテスト | レッドチーム演習 | |
|---|---|---|
| 進め方 | 主に担当者のみでテストを進行 | ホワイトチームやブルーチームが関与、 継続評価の実施 ※1 |
| スコープ | 組織内のシステム | 組織内のシステム、及び体制 ※2 |
| 評価観点 | 脅威に対する耐性、及びセキュリティ対策の有効性 | 攻撃に対する検知、防御、対応の有無と有効性 |
※1 継続評価とは、レッドチーム演習の実施中にブルーチームによって攻撃が検知、防御、隔離が行われた場合、その後の
評価を行うするために、攻撃が成功したとしてテストを続行することです。
※2 体制とはセキュリティ製品の導入や脆弱性管理といったセキュリティの対策状況、情シスやSOCなどといった運用体制
を指します。
上記のような違いはありますが、ペネトレーションテストもレッドチーム演習も攻撃者視点から問題点を発見し、セキュリティの向上を目指すところは同じです。
また、ペネトレーションテストとレッドチーム演習のほかに、TLPT(脅威ベース侵入テスト)と呼ばれるテスト手法も存在します。TLPTは、ペネトレーションテストとレッドチーム演習に比べて、現実の脅威アクターを強く意識し、組織が対面しうる脅威をベースにシナリオを作成する点が特徴です。
今回のブログでは、脅威インテリジェンスに関しては言及せず、攻撃者視点の重要性について解説していくため、ペネトレーションテストとレッドチーム演習をメインで取り上げます。しかし、TLPTで用いる攻撃手法はレッドチーム演習と大きく違いはないため、本ブログで取り上げる攻撃者視点の重要とその効果に関してはTLPTでも同様の効果を得ることが可能です。
本題に入る前に、あるフレーズをご紹介します。これはサイバーセキュリティにおいて、よく聞くフレーズです。
言葉の通りの意味で、防御側は失敗してはいけない。つまり常に成功し続ける必要がありますが、攻撃者は失敗を繰り返したとしても、たった1回成功することが出来れば、ゴールを達成することが出来ます。
このような現状から、防御側は脆弱性の管理やセキュリティ製品の導入といったセキュリティ対策を行い、攻撃者から組織を守ろうとします。しかし、実施可能なセキュリティ対策には限界があり、すべてに対応できないことが多いです。
また、防御側が意識しなければならないのは、既存のシステムだけはありません。組織が新規サービスの立ち上げや現状の課題解決を行うにあたって導入する新規の技術(システム)にも当然セキュリティを意識する必要があります。攻撃者は組織の中のある一つのシステムへ侵入できれば良いですが、防御側は守るシステムが増加していきます。
上記からもわかるように、防御側と攻撃側では、攻撃側が圧倒的に有利な立ち位置にいます。
では、ここから本段に入っていきましょう!
一体なぜ攻撃者視点が重要なのでしょうか。
大きな理由としては「防御には限界がある」ことが挙げられます。ここでいう「限界」とは現実的に実現可能な限界という意味です。
では、どのような限界があるのでしょうか。いくつかの場面で考えてみましょう。
1. 使用しているバージョンに脆弱性が報告された
脆弱性情報は日々公開されており、ソフトウェアやOS、製品などに対し、年間を通してかなりの数の脆弱性が報告されています。
防御の限界
運用担当者は脆弱性が改修されたバージョンに更新するかパッチの適用を試みますが、対応が必要なバージョンが多すぎる場合や、かなりの頻度で更新が必要になると全てを対応するには限界があります。また、運用上本番環境のみで稼働しているようなサーバでは、更新することで通常の処理が行えなくなる可能性もあります。
そのような場合、脆弱性の詳細からリスクや影響を把握し、対策の検討(今すぐ対応が必要か、後回しやリスクの受容が可能であるか等)を行う必要がありますが、複雑な脆弱性である場合、判断が困難です。また、脆弱性を改修しない場合、一時的な対策(アクセス制御や入力値の検証等)を行っていることがありますが、どの程度有効であるのかも分かりません。
攻撃者視点を持つことによる効果
ペネトレーションテストやレッドチーム演習では、脆弱性の有無に加え、悪用可否やセキュリティ対策の有効性を調査します。
調査の結果から実際に脆弱性が悪用可能であるのか、悪用された場合にどのような影響があるのか、リスクレベルはどのくらいであるのか、攻撃を防ぐためにはどのような対策が必要であるのかを理解し、問題点への対応の要否や優先順位を把握することが可能になります。
実際の攻撃による結果から現状を把握することができるのは攻撃者視点の大きな効果ともいえます。
2. セキュリティ製品を導入した
セキュリティ対策の一つの手段として、セキュリティ製品は多くの組織で導入されています。セキュリティを向上させるため、実際にFWやWAF、EDR、NDR、SIEM等のセキュリティ製品を導入されている方も多いのではないでしょうか。
防御の限界
セキュリティ製品を導入すること自体は、組織のセキュリティを向上させる非常に有効な手段ですが、その体制や設定、運用次第では効力を失ってしまう場合があります。
例えば、以下のような運用となっている場合、注意が必要です。
| 製品 | 問題点 | 詳細 |
|---|---|---|
| FW | ログが無効化されていたり、保存期間が短すぎる | FWによって通信は制限されていたとしても、ログを保存する設定になっていなかったり、保存期間が短すぎる場合、万が一インシデントが起きた場合に、追跡ができなくなってしまいます。 |
| WAF | 検知モードのままでブロックしない | WAFを導入し、怪しいリクエストを検知することができたとしても、ブロックするような設定が行われていない場合、攻撃が成功してしまう恐れがあります。 |
| EDR | 脅威検知後のアクションが決まっていない | EDRによって、脅威を検知することができたとしても、検知後の対応フロー(どのように隔離、対応するのか)が定まっていないと攻撃を防ぐことができません。 |
| SIEM | ログの可視化・分析が行われていない | SIEMを実装し、ログは収集されていたとしても、収集したログの可視化、分析が行われていない場合、ログからの攻撃の兆候を見逃す恐れがあります。 |
ここまで取り上げた運用上のミスは、「ありがちな運用ミス」と言えます。運用ミスが発生する一番の原因は、「セキュリティ製品を導入した時点で安心した」ことです。運用次第によっては、上記のような懸念事項が発生することを理解しておく必要があります。
また、攻撃者はEDRやWAFといった製品による検知を回避しようとする攻撃も実施してきます。当然のように阻止できると思っていたマルウェアの実行が、全く検知されず気づいたらネットワーク全体を侵害されているというケースも存在します。
検知を回避する動きは、かなり高度化されており、セキュリティ製品単体では防御が難しい傾向にあります。そのため、多層防御のような動きを強化していくことが重要です。
攻撃者視点を持つことによる効果
レッドチーム演習では、EDRの回避や永続化等、実際の攻撃者が用いるリアルな手法を使用し、検知の有無や一連の対応フローを評価します。評価を通して、対応フローの改善や検知が困難である箇所の具体的な多層防御の推奨等を行います。
レッドチーム演習によって、リアルな観点から現状のセキュリティ体制を把握し、組織のセキュリティを向上させていくことが可能です。
3. 新たな技術を取り入れることにした
昨今のIT業界は、多くの革新的な技術が発表されており、業界的にますます勢いをつけてきました。
例えばAI技術では、精度が以前よりもかなり向上し、ありとあらゆる場所で使用されています。その便利さから組織の中でもAIを導入し、活用していこうという動きが強まっていますが、便利な反面、攻撃者から狙われる対象にもなっています。
防御の限界
一例として、AIに対する攻撃手法を見てみましょう。
| 攻撃手法 | 概要 |
|---|---|
| 敵対的サンプル | 入力データにノイズを加えることで、AIモデルを誤認識させる攻撃 |
| プロンプトインジェクション | プロンプトの構造やルールを壊す指示を入力することで、 AIによる処理を操作する攻撃 |
| モデル反転攻撃 | AIモデルの出力結果を逆算し、元の訓練データを推測・再構成する攻撃 |
組織でAIを導入、活用する上で上記のような攻撃は脅威となり、全く対策を講じていない場合、大きな被害につながる可能性があります。
また、今回は例としてAIを取り上げましたが、クラウドシステムやコンテナ技術等、直近で使用されることが増えた技術は他にも多く存在し、それらの技術に対する固有の攻撃手法も存在します。
このような技術を導入する際は、仕様を確実に理解し、適切な実装、運用を行なって行くことが重要です。しかし、全ての技術を完璧に理解し対策するには限界があります。
攻撃者視点を持つことによる効果
ペネトレーションテストやレッドチーム演習では、AIやクラウド等の新規技術に対して、上記で紹介したような固有の攻撃手法を用いて問題点の調査を行います。
そのため、導入した新規技術に対してどのような攻撃が行われ、どのような対策、運用を行えばよいかを理解することが可能です。
実際に脆弱性を報告した際に「こんな機能があるなんて知らなかった」と言われることがありますが、攻撃者からするとよく悪用する機能ということも多いです。
被害が起きてからでは、取り返しがつかなくなるため、攻撃者手法を把握し、事前に対処しておくことが重要です。
ここまで3つの場面に焦点を当てて攻撃者視点の重要性をまとめてきました!
ブログの冒頭でも書きましたが、攻撃者というのは非常に有利な立場にいます。また、昨今はテレワークやクラウドシステムの利用によって、アタックサーフェス(攻撃対象領域)が増加しました。
あらゆる事態を想定し、どこから狙われても対応できるようなセキュリティ体制を構築するためには、攻撃者視点が欠かせません。
ペネトレーションテストやレッドチーム演習の実施をぜひ検討してみてください!
最後まで閲覧していただき、ありがとうございました!
お問い合わせ
サイバー攻撃対策・脆弱性診断・インシデント対応など、
お客様のニーズに合わせた最適な
ソリューションをご提案します。
まずはお気軽にご相談ください!
