{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
脅威ベースのペネトレーションテスト「Threat-Led Penetration Testing(以下、TLPT)」はセキュリティ対策の手法の一つです。攻撃側と防御側に分かれ、攻撃側が実行する各種のサイバー攻撃活動を防御側がセキュリティイベントの監視を通じて検知し、分析および対処を実施することで攻撃を未然に防ぐ実地訓練です。
TLPTにより、疑似的な攻撃を通じてセキュリティ対策機能の技術面での有効性を検証できる上、防御側の検知・分析・対処における弱点の把握と改善による防御能力向上も期待できます。
PwCが提供する本サービスは、情報セキュリティ業界の品質水準の維持を目的とする非営利団体CREST(The Council for Registered Ethical Security Testers)から認定を受けています。
TLPTは、現実世界で実際に起きているサイバー攻撃を疑似的に体験し、攻撃によるITシステムへの侵害に対処する能力を高めるテストです。インターネットに接続されている実際のITシステムを用い、本番環境でテストを実施します。
テストでは、攻撃側(レッドチーム)が、実現し得る攻撃シナリオをもとに攻撃を仕掛けます。レッドチームはさまざまな攻撃技術を駆使して侵入を試みます。
一方、防御側(ブルーチーム)は、レッドチームが仕掛けるサイバー攻撃の検知、防御、対応を、攻撃の内容に応じて行います。これによって、自社のシステムがどのような攻撃を許す可能性があるかを明らかにします。
TLPTを実施する前に、「脅威シナリオ」と呼ばれる、実際に発生し得るサイバー攻撃のプロセスを記したシナリオを作成します。脅威シナリオは、オープンソースなどから収集・分析された脅威インテリジェンス(脅威の検知・防止に活用できる情報の総称)をもとに作成されます。攻撃者はどのような集団か、攻撃の目的は何か、どのような技術や手法を駆使してくるかなど、企業の特性や業界特有のリスク、トレンドに応じて立案します。
TLPT実施後は、レッドチームの攻撃に対してブルーチームがどのような方法やタイミングで検知、防御、対応できたのかを評価します。また技術面のみならず、組織のサイバーセキュリティスタッフや防御のプロセスといった観点からも課題を検証します。
TLPT実施において重要なのは、攻撃シナリオです。
業界固有のリスクや攻撃のトレンドなどの技術面にかかわる情報に加え、各業界で実際に起きた攻撃の事例や法規制などを加味し、リアリティのあるシナリオを策定します。
システムの停止による被害や情報漏えいによるレピュテーションリスク、補償費用など、攻撃や侵入を許した場合のビジネスへのインパクトも測定します。また、攻撃の影響を最小化し、回復へと導く「サイバーレジリエンス」を強化するための改善事項を日本語でタイムリーに提供します。
対象とするシステムや環境・構成を常に中立かつ公正な立場で評価し、TLPTを推進することで、脅威シナリオの偏りや抜け漏れなしに、より精度の高い検証を実現します。
脅威インテリジェンスをもとにした最新の攻撃手法や攻撃者の情報、さらにはトレンドや法規制、イベントなどの業界情報を加味してリアリティのあるシナリオを策定します。
攻撃によるビジネスへのインパクトを分析。攻撃・侵入を許した際の影響を、現実に即して正確に予測します。経営層に対して強い訴求力を持つTLPT結果報告が可能です。
ビジネス被害の例
技術面の課題だけではなく、企業特有の組織体系などに起因するサイバーレジリエンスの改善点も指摘します。
課題例
日本語によるオンサイト/リアルタイムコミュニケーションによる実効的な改善を提案します。
公益財団法人金融情報システムセンター(以下、FISC)は2019年9月、「金融機関等におけるTLPT実施にあたっての手引書」を刊行しました。この手引書は、金融機関向けにTLPTにおける参考となるフレームワークを示し、TLPTの実施を推奨するものです。PwCあらた有限責任監査法人は、同手引書の策定にオブザーバーとして参画し、日本の金融機関がTLPTを実施する上での論点を提示することができます。
また、PwCあらたは金融庁の委託を受け、諸外国におけるTLPTの手法や金融機関の活用状況などについて調査を実施し、「諸外国の『脅威ベースのペネトレーションテスト(TLPT)』に関する報告書」[PDF 2,110KB]として取りまとめています。諸外国も含めた企業のTLPTの活用状況に関する情報をぜひご覧ください。