セキュリティ侵害が頻発している現在の社会は、一つ間違えただけで全てが吹き飛ぶ、まるで目隠しをして一輪車に乗りながら地雷原を突き進むかの如き日が続いています。企業は精一杯頑張っていますが、このままではおかしくなってしまいます。
せめて、自社のセキュリティ対策がどこまでサイバー攻撃から防衛できるかを確認できれば、気が休まるでしょう。では、どうすれば確認できるのでしょうか?そこで役立つのがレッドチーム演習です。
レッドチーム演習は、新車の衝突試験のようなものです。新品の車を、実際に衝突させて、耐久性などを確認します。弱点を見つけるには確かな方法です。レッドチーム演習は、企業の防御体制を調査し、脆弱性を突くなど攻撃を仕掛けてみて、セキュリティ上、弱い部分を明らかにしていきます。
レッドチーム演習では、ソーシャルエンジニアリングを使った攻撃が行われることがあります。ソーシャルエンジニアリングは、まるでジェダイが相手の心を操るように、無警戒な従業員にログイン認証情報を提供させたり、非常口を開けさせたり、悪意のあるデバイスをネットワークに接続するよう指示します。
レッドチーム演習、あるいは「人」による防御壁を継続的にテストしている組織は、模擬フィッシング演習を利用します。企業や組織にいる、大勢の従業員や職員の、誰がセキュリティ上弱いのか、攻撃がどのように成功するのか調べるのに有効だからです。
レッドチームは、ネットワークに侵入し、ソフトウェアを悪用し、インフラの弱点を暴くために、詳細な侵入テストを実施する場合もあります。
実際に攻撃を仕掛けて弱点を見つけることは、より堅牢でより安全な対策を可能にします。レッドチーム演習により、何が機能しており、何が機能していないかを詳細に把握できます。システム上の脆弱性やセキュリティ対策の不備や不足だけではなく、侵入された後の対応も含めて、企業の弱点を明らかにすることで、さまざまな攻撃やインシデントを想定内に収めることが可能になります。
このようなトレーニングは、狼の群れにいきなり放り出されるようなものと感じるかもしれませんが、そうではありません。熟達した師匠と道場で稽古をするようなものだと考えてください。“あり得ない”と思うようなことが起きればパニックになり、適切な判断や対処ができなくなります。できる限り多くの攻撃シナリオを体験することで、冷静に適切な対応が取れるようになるのです。
レッドチームによるテストや模擬フィッシングメールなどのソーシャルエンジニアリングテストは、1回で終わるものではありません。体力づくりには継続的なトレーニングが欠かせないように、組織を保護するためには継続的なトレーニングが必要です。
マルコム・グラッドウェルは彼の著書『天才!成功する人々の法則』の中で、「練習は、上手くなってから行うものではなく、研鑽を重ねることで能力は上達する」と述べています。セキュリティトレーニングを継続し、物理的、技術的、そして人に至るまでのあらゆる側面からセキュリティ対策を継続的にテストし、強力なセキュリティカルチャー(文化)を醸成する必要があります。
原典:Javvad Malik著 2024年6月20日発信 https://blog.knowbe4.com/the-indispensable-world-of-red-teaming