敵対者シミュレーション(または「レッドチーム」)は、組織のサイバー脅威に対するレジリエンスをテストする最も効果的な方法の 1 つです。しかし、これらのシミュレーションは単なる理論ではありません。これらは、多くの場合、実稼働環境で実行されるライブ演習であり、つまり、実際のリスクをリアルタイムで管理することになります。
LRQA では、業務や信頼性を損なうことなく、高度なサイバー攻撃をシミュレーションできるリスク主導型のアプローチを開発しました。その仕組みをご紹介します。
コントロールグループから始まる
すべての取り組みは、主要な顧客の関係者と LRQA コンサルタントで構成される専任のコントロールグループから始まります。このグループは、常に最新情報を把握し、取り組み全体の計画、承認、監督において中心的な役割を果たします。
リスクワークショップで方向性を決定します。以下を共同で特定、評価します。
- レッドチームとブルーチームの活動に関する業務リスク
- 評判や倫理に関する事項を含む、プロジェクト全般に関するリスク
- 法律およびコンプライアンスに関するリスク
また、これらのリスクを 4 つの主要な経営分野にマッピングしています。
- 事業に関する洞察 – 保護すべきものは何か、その理由は?
- 危機管理 – 問題をエスカレーションするタイミングと方法は?
- プロセス – 関与のルールは?
- リスクの軽減と受容 – リスクをどのように対処、許容するか?
このグループの強みは、攻撃的なテストをビジネスの優先事項と整合させる能力にあります。継続的な対話により、双方は新しい情報に適応し、予期せぬ発見に対応し、すべてのステップが合意された成果に沿って進んでいることを確認することができます。この関係は、安全で効果的なシミュレーションの基盤となっています。
コントロールグループは、明確な責任の分担も実現します。全員が自分の役割を理解し、リスクの責任を共有することで、迅速な意思決定が可能になります。これは、動きの速いリアルタイムの業務において不可欠です。
階層型リスクモデル:リスクの程度を把握する
重要な業務を保護するため、リスクワークショップで策定した階層化された資産分類モデルを採用しています。
- 一次資産 – ビジネスに不可欠な機能を直接サポートする、決済インフラやメインフレームなどのコアシステム
- 二次資産 – ドメインコントローラー、ファイルサーバー、データベースプラットフォームなどのシステム
- 三次資産 – プレプロダクションシステム、デスクトップ、仮想デスクトップインフラストラクチャなどの重要度の低い環境
この構造により、リスクの露出を明確かつ一貫した方法でモデル化することができます。これにより、シミュレーション中に実行されるすべてのアクションが、テスト対象システムの価値と感度に見合ったものとなることが保証されます。
例えば、シミュレーションの対象が支払い処理システムの場合、実際の攻撃の連鎖を実行することなく、そのシステムを侵害する能力を示すことができます。または、顧客のリスク許容度が高い場合、適切なチェック、承認、および緊急時対応計画が整備されていることを前提に、範囲を拡大することも可能です。
各段階において、資産層間の移動は厳格に管理されます。目標は常に同じです:不要な混乱を引き起こすことなく、意味のある知見を生成することです。
行動規範
LRQA のすべての敵対者シミュレーションは、コントロールグループと事前に合意した一連の厳格な管理基準によって管理されています。この行動規範により、リスクが特定され、責任が明確になり、業務全体を通じてリスクが軽減されます。
これらの措置は、単にリスクを回避するための対策ではなく、影響の大きい業務における信頼の基盤となるものです。これらがなければ、レッドチームは、事実を明らかにするどころか、軽率な行動に陥る危険が伴います。各安全対策は、業務、人、および評判を保護するために存在しています。
主な安全対策としては、次のようなものが挙げられます。
- コミュニケーション – コントロールグループは NDA の下で運営され、安全なリアルタイムの連携のためのアウトオブバンドチャネルを維持しています。このチャネルにより、予期しない動作が観察された場合、即座にエスカレーションを行うことができます。
- 承認 – 資産階層間の横移動や目標に対するアクションは、コントロールグループの明示的な承認が必要です。何も想定されていません。
- 緊急停止 – テスト中に無関係の侵害が発見された場合、または顧客が活動を停止する必要がある場合、シミュレーションは完全な透明性を確保した上で即座に停止することができます。
- 脆弱性 – エンゲージメント中に発見された高リスクの脆弱性は、最終報告書で保留されることはありません。特に、明確かつ信頼性の高い侵害経路が存在する場合は、リアルタイムで開示されます。
- アーティファクトの削除 – エンゲージメントが終了すると、LRQA は、インプラント、ペイロード、ツールの残骸など、レッドチームのアーティファクトをすべてクライアント環境から安全に削除します。
- サービス拒否 – LRQAは、ライブシミュレーション中にサービス拒否攻撃を実行しません。DoS条件が検出された場合、トリガーされずに記録されます。
- データ保護 – LRQAは、明示的な書面による許可がない限り、ライブ生産データを外部に漏洩しません。
- 実装の安全 – 実装は、ドメインに参加し、対象範囲内の資産でのみ実行されるように設定されています。これにより、ペイロードが環境から削除された場合でも、他の場所で機能することはありません。
- 第三者 – クライアントが所有または管理していないシステムおよびインフラストラクチャは、別途合意がない限り、対象範囲から除外されます。
- エスカレーション – 文書化されたエスカレーションプロセスにより、ライブ中の懸念事項、特にブルーチームが活動を検出したり、インシデントの可能性を懸念したりした場合の迅速な解決が可能になります。
中断のない完全な可視性
エンゲージメントに視覚的なオーバーレイをご希望の場合、LRQA の独自開発によるエンゲージメントダッシュボードをすべてのお客様に提供いたします。このダッシュボードは、シミュレーションに関するリアルタイムの洞察を提供し、コントロールグループがライブ演習に干渉することなく 24 時間 365 日の可視性を確保できるように設計されています。
ダッシュボードには、次の情報が表示されます。
- シミュレーション攻撃のライブステータス
- アクティブな組み込みの数を表示
- シナリオの進捗状況と重要なマイルストーン
- これまでのエンゲージメント活動のタイムライン
- インシデントや関連のない問題が発生した場合に、すべてのライブ活動を即座に停止する緊急停止ボタン
重要な点として、これはレッドチームの活動をライブ配信するものではありません。ダッシュボードは、シミュレーション全体を通じた監視、調整、安全なガバナンスを目的として設計されたメタデータのみを提供します。
レッドチームが実行するすべてのコマンドとアクションは、変更不可能で中央のアクティビティ記録にログとして記録されます。これにより、最初のアクセスからエンゲージメント後のクリーンアップまで、エンゲージメントの全範囲を網羅する、フォレンジックに耐える監査証跡が作成されます。
ダッシュボードにより、お客様はシミュレーションをリアルタイムで観察することができます。完全な可視性、混乱のない操作、そして完全な制御が可能です。
将来を見据えて
この導入部では、ライブの敵対者シミュレーションにおけるリスク管理の舞台裏をご紹介します。初期段階の計画から積極的な対応まで、リスク管理はすべてのプロセスを結びつける重要な要素です。レジリエンスの検証、規制要件の遵守、防御体制への信頼性向上など、目標が何であれ、リスク管理はそれらを統合する軸となります。
あらゆる取り組みから、技術、人、そしてリスクの進化する性質について新たな知見を得ることができます。これらの知見を収集し活用することで、お客様が防御だけにとどまらず、適応力を高めることを支援します。
LRQAでは、レジリエンスはリスクを回避することで構築されるのではなく、リスクをスマートかつ透明性をもって管理することで構築されると考えています。
詳しくはこちらをご覧ください
LRQAは、世界中の組織に対して、カスタマイズされた敵対者シミュレーション、サイバーセキュリティ評価、インシデント対応計画を支援しています。
