ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の「実力」は
どうやって評価するか

デロイト トーマツ リスクサービス
【第10回】 2018年4月26日
著者・コラム紹介バックナンバー
previous page
2
nextpage

Red Team Operations(RTO)とは?

 RTOは元々は軍事用語で、攻撃側であるRed Team、防御側であるBlue Teamに分かれて「実戦演習」をすることに由来しています。RTOはサイバーセキュリティにおける「実戦演習」であり、実際のサイバー攻撃者と同じ手法で組織に対してサイバー攻撃を行うことで、サイバーセキュリティ対策の実効性を評価します。RTOの2つの基本的な考え方を以下に示します。

1)脅威インテリジェンスに基づき、実際のサイバー攻撃と同等の手法で評価を行うこと

 脅威インテリジェンスについては、本連載第7回で解説されていますので、詳細はそちらを参照いただければと思いますが、自らの組織あるいは業界に対してどのようなサイバー攻撃が行われているかを分析し、それら実際の攻撃手法と同等の手法で評価を行うことが、RTOの基本的な考え方です。

 この考え方に従うと、RTOによる評価では攻撃目標を設定する必要があります。というのは、サイバー攻撃者は何らかの目標(顧客情報の窃取、不正送金、システム停止等)を達成するために攻撃を仕掛けてくるためです。

 また、図表2に示すPhysical(物理)、Human(人)、Cyber(ネットワーク)の3要素をカバーすることが望まれます。Physical(物理)、Human(人)はいわゆるソーシャルエンジニアリングやフィッシングメールといった攻撃手法が該当します。近年のサイバー攻撃の傾向を見ると、インターネットから公開サーバを攻撃するなどの、Cyber(ネットワーク)に限定した攻撃手法は比較的少数であり、Physical(物理)、Human(人)を入口として内部ネットワーク上にバックドア(侵入口)を設け、そこを突破口として組織内に攻撃基盤を構築し、情報の窃取等、攻撃目標の達成を行う場合が大半であるためです。

出所:デロイト トーマツ リスクサービス

 RTOにおいては設定した攻撃目標の達成に向けて、実際にサイバー攻撃者が行うのと同じ手法で攻撃、例えばフィッシングメールの送付や物理的侵入によるバックドア設置、及びそこを突破口とした攻撃目標の達成を、机上評価等の疑似的な方法ではなく、実際に試みることで、組織のサイバーセキュリティ対策の実力を評価します。

2)評価実施の開示範囲を可能な限り限定すること

 図表1に示した技術的セキュリティ評価(脆弱性評価、ペネトレーションテスト等)を行う際は一般的にテスト対象のサーバ、テスト実施日時等について事前通知・調整が行われますが、実際のサイバー攻撃では当然こういった事前通知・調整はありません。RTOも実際のサイバー攻撃と同様に原則として事前通知・調整なく実施します。

 「原則として」というのは、完全に無通知・無調整で行うとシステムや業務に混乱を来す恐れがありますので、限られた経営層・責任者クラスとの間では事前通知・調整を行うものの、セキュリティ監視やインシデント対応を行う実務層との間では事前通知・調整を行わない、ということです。このようなアプローチをとることで、サイバー攻撃の予防だけではなく、攻撃を直ちに検知することができるか、また検知後の対応をスムーズに行うことができるか、といった観点での評価も可能になります。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧