脅威ベースのペネトレーションテスト（TLPT）実践からの示唆 TLPTにおけるブルーチームの態勢評価とは

2020-10-12

はじめに

過去3回にわたり、脅威ベースのペネトレーションテスト（TLPT）の成り立ちやスレットインテリジェンスの有効性、ペネトレーションテストの実施方法について紹介しました。本稿では、ペネトレーションテストや実際のサイバー攻撃発生時に最前線で対応するブルーチームの態勢評価を取り上げます。

ブルーチームとは

疑似攻撃を仕掛ける「攻め」のレッドチームに対し、ブルーチームは「守り」のチームとして検知、影響・被害の特定・低減、経営層に対する報告、社内外の関係者に対する報告・連絡などの役割を担う組織を指します。

一般的に、SIRT（Security Incident Response Team。CSIRT、PSIRT以外に、制御系システムやサービスを対象とする新たなSIRTも登場している）、SOC（Security Operation Center）が該当します。

多様化、巧妙化が進むサイバー攻撃を防ぎきることは企業にとって困難であることから、「技術的な対策が施されていること」以上に、「インシデント発生時にブルーチームであるSIRTやSOCの実効性が確保されていること」が大きな意味を持ちます。

態勢評価の進め方

ペネトレーションテストにおける評価は、主に人・組織、プロセス、技術の観点で構成されます。そして、これらの観点ごとに、インシデント対応状況の全般について社内外の各関係者にインタビューを実施し、態勢を評価します。

インタビューの内容は、当該企業におけるインシデント対応の全社的な方針やルール、ペネトレーションテストベンダーのナレッジ、各種フレームワークなどを参考に決定します。

評価の参考になる、インシデント対応の代表的なフレームワークは下記の通りです。

【NIST SP 800-61 Computer Security Incident Handling Guide^*1】

日本でも広く知られているガイドラインです。組織の構成とインシデント対応機能という観点で文書が構成されており、影響評価、復旧評価、ツールなどに関する具体的な説明がある点が特徴です。

和訳版（rev1）が公開されており^*2、評価テーマとして利用しやすい一方、成熟度の観点が無いため、CMMI（Capability Maturity Model Integration）などのフレームワークで補う必要があります。

主な内容
インシデント対応組織の構成と能力：6節（方針・計画・手順などの策定、組織の構成など）
インシデント対応：6節（検知と分析、封じ込めと駆除と復旧など）
情報共有と連携：4節（情報共有体制、情報共有手法など）

【SIM3（Security Incident Management Maturity Model）^*3】

欧州を中心に活用され、日本でも最近注目されているフレームワークです。4種類のテーマで構成されており、それぞれの成熟度を5段階で評価します。成熟度は各レベルの定義のみならず、次レベルとの差異も説明されている点が特徴です。

主な内容
組織：11項目（権限移譲、継続性、責任、サービス定義など）
人：7項目（ルール、人材の健全性、スキルセット、訓練など）
ツール：10項目（資産管理、脆弱性管理、防御策、検知策など）
プロセス：17個（経営層・広報・法務などへの報告プロセス、検知・復旧などの対応プロセスなど）
成熟度
0：利用できない／定義していない／認識していない
1：認識されているが、文書化されていない
2：文書化されているが、権威性が無い
3：文書化されており、CSIRT責任者の権限で権威付けされている
4：文書化されており、ガバナンスレベルの権限で権威付けされている

なお、欧州のネットワーク・情報セキュリティ機関から、SIM3に関するウェブベースのチェックツールやレポートが公開されています^*4。

態勢評価後の取り組み

態勢評価から、ブルーチームの要員不足や知識不足といった人・組織に関する問題点、インシデント対応手順の不足といったプロセスに関する問題点など、さまざまな問題点を抽出することができるでしょう。これらが対応の遅延、影響範囲の拡大といった事業被害を誘発する要因となることから、その解消が、以降の重要な取り組みとなります。

【態勢評価によって抽出される問題点の一例】

CSIRTの要員不足により、インシデント対応が実行できない
SOCの知識不足により、ログやアラートの分析方法が分からない
役割が認知・共有されていないため、誰が何をすればよいかが分からない
インシデント対応手順が不足している、または、無い
サービス停止が生じた際に、取るべき対応を判断できない
インシデント発生時に連携すべき関係者に漏れがある、または、分からない
インシデントの封じ込めや応急処置の実施に踏み切ることができない

態勢評価や態勢評価後の取り組みが上手く進まない場合

入念な準備を経てペネトレーションテストを実施したものの、「TLPTの態勢評価が上手く進まない」、「TLPT実施後の問題点解消の取り組みが頓挫する」といった話をよく耳にします。ここからは、こうした事態に陥らないための対応策を紹介します。

【態勢評価を滞りなく進めるために：インタビューの段取り】

態勢評価において上手く進まないことの一つとして、インタビューが挙げられます。インタビューで聞く内容が定まらず、結果的に想定より多くの期間を費やしてしまうといったケースが少なくありません。これを円滑に遅滞なく進めるためには、その内容について、インタビュー開始直前ではなく、プロジェクト開始時にテストベンダーと内容を摺り合わせ、設計すること（何を参照文書とするのか、文書上のどの内容を用いるのかなど）を推奨します。

これにより、テスト開始前にインタビューの対象者を洗い出すことができ、テスト実施に伴う調整と併せて、インタビューの内容の説明とスケジュールの確保ができます。

一般的に、情報システム部門のみならず、外部委託先、リスク管理部門、総務部門などもインタビュー対象となることが多く、最低でも1ヶ月程度はインタビュー期間を設けると安心です。

【態勢評価後の取り組みを予定通り進めるために：ロードマップの策定と経営層・関係者からの合意の取り付け】

態勢評価後の取り組みが進まない主な理由として、スケジュールの見積もりが甘い、関係者から適切なサポートを得られていない、などが考えられます。

このような状態を引き起こさないためには、問題点の因果関係を分析して、有効かつ効率的な進め方を検討およびロードマップ化することで、経営層に対して重要性を訴求し、TLPTを全社的な取り組みと位置付けた上で、関係者からその目的や内容、スケジュールに関する理解を得ることが必要です。

なお、評価の説得性を増すために、ベンチマークを活用することも推奨されます。

最後に

TLPTは技術的な対策の評価に留まらず、態勢を含め幅広く評価することができます。前述の通り、TLPTの目的は、企業の重大な被害につながるインシデント発生時に、今まで投資してきた人・組織、プロセス、技術に関する対策がそれぞれ有効にムダなく機能するかを検証し、その結果から、さらなるセキュリティ強化やコスト削減を効率的に推進するための道筋を見出すことです。一連のプロセスから導き出されるブルーチームの態勢評価は言ってみればTLPTの総仕上げであり、プロジェクト成功に向けた重要なカギと言えるでしょう。

注記

^*1：National Institute of Standards and Technology, ’ Computer Security Incident Handling Guide’

^*2：独立行政法人情報処理推進機構, 「セキュリティ関連NIST文書」

^*3：Open CSIRT Foundation, ‘SIM3 Model & References’

^*4：European Union Agency For Cybersecurity, ‘CSIRT Maturity assessment’

執筆者

村上純一

パートナー, PwCコンサルティング合同会社

茂山高宏

ディレクター, PwCコンサルティング合同会社

※ 法人名、役職、コラムの内容などは掲載当時のものです。