目 次
TLPT(脅威ベースのペネトレーションテスト)とは?
TLPTと「一般的なペネトレーションテスト」との違い
なぜ昨今、TPLTの普及が進んでいるのか?
TLPTにおける攻撃シナリオの例
サービス事業者が提供する、TLPTの主な流れ
その他「TLPT」でよくある質問の例
LANSCOPE プロフェッショナルサービス が提供する「ペネトレーションテスト」の紹介
まとめ
TLPTとは、現実で実際に発生しうるサイバー攻撃をシミュレーションし、保護対象のサーバーやクライアント端末などに疑似攻撃を仕掛けることで、組織のセキュリティ体制の強さや復旧力・脆弱性の有無などを評価する診断サービスです。
例えば「金融機関などお客さんのシステム環境に、テストとしてマルウェアやバックドアを用いた疑似攻撃をしかけ、内部ネットワークへの不正アクセスを試みる」という行為は、TLPTの1つの事例です。
APT攻撃をはじめとした、昨今の高度なサイバー攻撃に向け強固な組織体制を構築する手段として、アメリカをはじめとした多くの国で、いま「TLPT」が注目を集めています。
▼この記事を要約すると
- TLPTとは保護対象のサーバーやクライアント端末などに「疑似攻撃」を仕掛け、企業のサイバー攻撃に対する「防止力」や「耐性力」を評価・向上させる施策
- 役割毎に、レッドチーム(攻撃側)・ブルーチーム(防御側)・ホワイトチーム(第三者)に分かれ、テストを実施する
- 一般的なペネトレーションテストと違い、業種・業態なども含め、テスト対象の環境を詳細に分析し、より現実的な脅威を想定してテストを実施するのが特徴
- 各国の金融機関を中心に「TLPTの普及」が進む背景に、従来の「境界線防御」だけでは、昨今の高度化するサイバー攻撃に対抗しきれなくなったことが挙げられる
- TLPTの主な流れは「計画立案」「脅威分析・シナリオ作成」「テストツールの開発・準備」「テストの実施(侵入・攻撃)」「評価・報告」の5段階。これら適切に行うことで、テスト中の業務影響を最小限にし、効果的にテストが行える
- TLPTの実施には「数百万~数千万円」の予算が見込まれ、適切な頻度は組織の環境やフェーズ、脅威トレンドによって左右される
「TLPT」について理解を深めたい方はもちろん、組織のサイバー攻撃へのセキュリティ体制を構築したい・強化したいという方は、ぜひご一読ください。
弊社の提供する「ペネトレーションテスト」の、診断報告書サンプルも配布しております。ぜひご活用ください。
TLPT(脅威ベースのペネトレーションテスト)とは?
TLPT(Threat-Led Penetration Testing)とは、日本語で「脅威ベースのペネトレーションテスト」を表す言葉です。
- 現実世界で実際に発生しているサイバー攻撃をシミュレーション(再現)し
- 保護対象となるサーバーやクライアント端末などに疑似攻撃を仕掛けることで
- 組織のサイバー攻撃に対する防御力や体制・復旧能力などをテスト・評価する
ことが、TLPTの目的です。
従来、ペネトレーションテストの主な対象は金融機関でしたが、近年ではサイバーレジリエンス強化を目的として、さまざまな業種・業態で注目を集めるようになりました。
サイバーレジリエンスとは、サイバーセキュリティに対するインシデントが発生した時の、企業の防止力や耐性力、回復力を示す言葉です。サイバーレジリエンスが高いほど、インシデント発生時の対応力・原状復帰能力に優れていると言えます。
「TLPT」を実施し、現実的に起こりうる攻撃や戦術を疑似的に再現することで、組織が実際にサイバー犯罪を受けた際、どのくらいの対応力があり、被害範囲はどのくらいであるかの評価と改善を図ることが可能です。
また、仮にサイバー攻撃を仕掛けられた場合の「組織の対応能力の向上を図る」という、演習・トレーニングとしての側面もあります。
TLPTの実施における3つのチーム体制(レッド・ブルー・ホワイト)
TLPTでは「経営層」の立場に加え、役ごとにレッド・ブルー・ホワイトの3つのチームを構築し、疑似攻撃のテストを行っていきます。
大まかに説明すると
- サイバー攻撃を仕掛ける「攻撃者」がレッドチーム
- 組織内でシステムを守る「防御側」がブルーチーム
- TLPTそのものを取り仕切る「調整役」の役割をホワイトチーム
という分担となります。
▼TLPTにおける主な役割
| 立場 | 役割の内容 |
|---|---|
| 経営層 | 企業戦略・セキュリティに対し、最終的な意思決定を行う |
| レッドチーム |
|
| ブルーチーム |
|
| ホワイトチーム |
|
例えば、攻撃側となるレッドチームは、ホワイトチームがあらかじめ用意した攻撃シナリオに則り、テスト対象への攻撃・侵入を試みます。
一方のブルーチームは、レッドチームの攻撃を速やかに検知し、攻撃範囲の調査や分析、被害へ対応などを実施します。ホワイトチームはその様子を監督し「レッドチーム・ブルーチームへの評価」や「TLPTの進行管理」を行うのが、主な役目です。
レッドチームとブルーチームが攻防を繰り返す中で、テスト対象の「どこに脆弱性があるか」「セキュリティ上の課題は何か」などが明らかになり、組織が対策すべきポイントを把握できます。
ブルーチームでは「インシデント時の対応力」の経験を積み、攻撃者の戦略や攻撃手順などを、実践を通じて習得することが可能です。
TLPTと「一般的なペネトレーションテスト」との違い
TLPT(脅威ベースのペネトレーションテスト)と、一般的なペネトレーションテストには、次のような違いがあります。
| TLPT | 一般的なペネトレーションテスト | |
|---|---|---|
| テストの目的 | 組織における「セキュリティレジリエンス」の向上 | システムにおける「脆弱性」の発見と、対策の優先順位付け |
| テスト対象の範囲 | システムやIT資産のほか、人、対応プロセスも含む | システムやIT資産 |
| シミュレーションする攻撃内容 | 攻撃対象の脅威を分析し、実際に起こりうる攻撃を実施 | 脆弱性とその影響を特定する攻撃を実施 |
| チーム体制 | レッド・ブルー・ホワイト | レッド |
両者ともに「攻撃シナリオ」を用いて、対象となるシステムやネットワークに、疑似的な攻撃を仕掛けるテスト、という点で共通しています。
両者の違いとして「一般的な ペネトレーションテスト」は、セキュリティの脆弱性を特定し攻撃者の目的達成可否を確認することで、対策すべき内容と優先度を判断することが目的です。
一方の「TLPT」は、組織の「サイバーセキュリティレジリエンス」の評価と、その向上を主な目的とするシミュレーションとなります。攻撃者の視点や戦術を実際に行うことで、システムだけでなく、インシデント発生時の対応フローや体制強化など、組織全体のセキュリティ能力向上をはかることが可能です。
また、一般的なペネトレーションテストは、あくまでも個別のシステムに対する脅威を想定したテストにとどまりますが、「TLPT」では業種・業態などを考慮してシナリオや環境を詳細に分析し、より現実的な脅威を想定してテストを実施する、という違いがあります。
なぜ昨今、TPLTの普及が進んでいるのか?
「TLPT」の普及が進んでいる背景として、これまで一般的であった「境界防御」を中心とするセキュリティ構築では、APT攻撃(高度標的型攻撃)のような高度なサイバー攻撃に対抗しきれなくなったことが挙げられます。
アメリカ国内では、2010年頃に大手金融機関をターゲットとしたサイバー攻撃が数多く発生しましたが、この脅威に対抗するためには、攻撃が侵入する境界においての防御だけでなく、万が一侵入を許してしまった後の検知や対応の高度化もはかる必要がありました。
このような背景からTLPTが普及することとなったのです。
イギリスにおいても、TLPTはアメリカに次いで普及しており、香港やシンガポールといった諸外国においても、TLPTの考え方はセキュリティ体制の強化へ積極的に取り入れられています。
TLPTにおける攻撃シナリオの例
TLPTを実施する際、レッドチームが活用するシナリオの例として、以下のようなものが考えられます。
- APT(高度で継続的な脅威)グループによる「標的型メール攻撃」
- ランサムウェアによるデータ暗号化と身代金要求
- マルウェアやバックドアによる内部ネットワークへの侵入
- WebサイトへのSQLインジェクション・クロスサイトスクリプティング攻撃による情報漏洩
- ソーシャルエンジニアリングによるパスワード窃取
例えば「標的型メール攻撃」を取り入れた「TLPT」は、以下のようなシナリオを作成し、テストを実施します。
▼攻撃のターゲット:金融機関の顧客データ・内部資料の窃取
▼目的:盗んだデータを悪用し、不正送金や詐欺行為を行う
▼攻撃シナリオ
- 攻撃者は、金融機関のWebサイトを中心に情報を収集する。
- 添付ファイルにマルウェアを仕込んだ攻撃メールを作成し、金融機関になりすまして、メールを送信する。
- メールを受信した従業員や顧客が、添付ファイルやリンクを開くと、マルウェアが実行される。
- マルウェアは、感染した端末に自身をインストールし、C2サーバーと通信。攻撃者は、C2サーバーから感染した端末を遠隔操作し、内部ネットワークに侵入する。
- ネットワーク内から顧客データなどの情報を盗み、外部に送信する。
TLPTを実施する際は、対象の業種・業態などを考慮しながら、効率よく脆弱性を発見できるような内容を網羅したシナリオを作成することが大切です。
サービス事業者が提供する、TLPTの主な流れ
サービス事業者が提供する「TLPT」の流れは、主に次の通りです。
- 計画立案
- 脅威分析・シナリオ作成
- テストツールの開発・準備
- テストの実施(侵入・攻撃)
- 評価・報告
企業・組織は、サービス事業者が提供する「TLPT」サービスを受けることで、自組織の脆弱性を明らかにし、セキュリティ体制の強化やフローの改善・見直しを行うことができます。
ここでは、TLPTを実際に行う上で取り組む、5つの項目について簡単にご紹介します。
1.計画立案
TLPTを実施する際は、まず計画の立案を行います。
TLPTの対象組織において、特にリスクの高い業務やシステム上の機能などを特定した上で、脅威から守るべき資産はどれなのかを正しく定義しましょう。
TLPTのテスト戦略を具体的に計画し、実施スケジュールを作成します。
2.脅威分析・シナリオ作成
計画立案が完了したら、脅威分析とシナリオ作成に移ります。
対象組織における脅威シナリオは、オープンソースなどから収集・分析した脅威インテリジェンスをもとに作成するのが一般的です。TLPTの対象となる企業や業界の特性を踏まえて、実際に直面する可能性があるサイバー攻撃を分析し、具体的なシナリオを作成します。
- 攻撃者はどのような集団か
- 攻撃目的は何か
- どのような技術や手法を使用するか
など、さまざまな観点から具体性のある脅威を想定します。ターゲットのWebサイトやSNSなどを活用し、攻撃対象者を調査することも効果的です。
※脅威インテリジェンス…攻撃者の動機やターゲット、攻撃パターンを理解するため、組織によって収集・分析されるデータのこと
3.テストツールの開発・準備
シナリオの作成後は、TLPTを実施するためのテストツールを開発・準備します。
加えて、リスク管理フレームワークの作成と合意や、TLPTの実施について対象組織に最終通知を行うのもこのフェーズです。
4.テストの実施(侵入・攻撃)
テストツールの準備ができたら、実際にテストを実施します。
システムに侵入してアクセス経路を確立し、アクセス権を操作して、機密データやその他の重要システムにアクセスできるように攻撃を仕掛けます。
TLPTは、対象組織の脆弱性を評価するために行うものであることから、必ずしもブルーチームによって攻撃が一方的に防御される展開が望ましいとは限りません。そのため、内部に侵入された想定でテストを実施したり、組織体制の評価が行えるようにホワイトチームによる調整が行われるケースがあります。
さまざまな侵入ルートを想定した完成度の高いシナリオを用意し、システムの弱点を特定すること・組織のセキュリティレジリエンスを向上させるようなテストを実施することが望ましいでしょう。
5.評価・報告
テストの実施後は、レッドチームが仕掛けたサイバー攻撃に対し、ブルーチームが実施したインシデント対応内容(脅威に対する対処が適切か、タイミングは迅速であったか、どこに課題があったかなど)を評価・検証し、適切なステークホルダーに向けて報告を行います。
技術面の脆弱性だけでなく、人や組織・対応プロセスにおいて発見された課題についても、検証し今後の改善につなげていくことが大切です。
その他「TLPT」でよくある質問の例
ここからは、TLPTに関するよくある質問について解説します。
- TLPTを受ける適切な頻度は?
- TLPTの実施にはどれくらい費用がかかりますか?
- TLPTと合わせて頻出する「CBEST」とは何ですか?
上記のような質問に回答していますので、ぜひ参考にしてください。
TLPTを受ける適切な頻度は?
「年1回程度」を推奨する業者が広く見られますが、TLPTの実施頻度は、最新の脅威動向、システムの変更・刷新、組織の改変など、さまざまな要件を考慮して決める必要があります。
最終的には自社のリスク状況やフェーズに応じて、判断することが大切です。
TLPTの実施にはどれくらい費用がかかりますか?
実施費用は、テストの規模や内容、期間、サービス提供者などによって異なります。
そのため一概に言い切ることはできませんが、一般的には数百万から数千万の費用がかかることを想定しておくと良いでしょう。
TLPTは、一般的な脆弱性診断やペネトレーションテストと比べ高度かつ複雑なテストである分、実施費用もより高額になる傾向があります。また実施期間についても、数か月~年単位に及ぶケースがあります。
TLPTを合わせて頻出する「CBEST」とは何ですか?
CBESTとは、英国中央銀行とCREST(The Council of Registered Ethical Security Testers)が開発した、TLPTのフレームワークです。
政府や民間の情報源から収集した脅威インテリジェンスに基づき、「金融機関に対するサイバー攻撃をシミュレーションし、システムや業務プロセスの防御能力評価を行うこと」を目的としています。
CBESTは、CRESTに認定されたペネトレーションテストプロバイダ(サービス提供者)によって実施されます。
LANSCOPE プロフェッショナルサービス が提供する「ペネトレーションテスト」の紹介
LANSCOPE プロフェッショナルサービスでも、実際に想定されるサイバー攻撃のシナリオを作成し、組織におけるシステムの弱点やリスクを洗い出す、高精度な「ペネトレーションテスト」を提供しています。
シナリオを基に攻撃目的が達成できるかをテストし、貴社が「APT攻撃」や「ランサムウェア」によって実害に至る可能性等を検証、最適な対策方法を提示します。
ペネトレーションテスト報告書イメージ
経験豊富な当社の診断員が、お客さまの環境やご予算に合わせて、最適なテストシナリオ(攻撃の流れ)を作成。
- 時間をかけ深く広く行うシナリオ
- 短期間で作成する、ポイントを押さえたシナリオ
など、柔軟にお客さまのご要望に合わせて、費用対効果の高いペネトレーションテストを提供します。ぜひ、下記の「ペネトレーションテスト詳細」についてもご覧ください。
まとめ
「TLPT(脅威ベースのペネトレーションテスト)」について、概要やシナリオの例、実施時の流れなどについて解説いたしました。
本記事をまとめると
- TLPTは、組織のサイバー攻撃に対する「サイバーレジリエンス(攻撃耐性や回復力など)」の評価・向上を目的とした施策
- 現実に起こりうる「サイバー攻撃」を実際にテストすることで、脆弱性やセキュリティの改善ポイントを洗い出し、体制強化をはかる
- TLPTの実施時は、レッド・ブルー・ホワイトの3つのチーム体制を構築し、レッドチームとブルーチームが攻防戦を行う
- TLPTは一般的なペネトレーションテストに比べ、より業界や業種などを考慮した実践的なシナリオで行われる(脅威ベース)
- TLPTが普及している大きな要因として、APT攻撃(高度標的型攻撃)などの高度なサイバー攻撃に、従来の「境界防御」だけでは対抗しきれなくなったことが挙げられる
TLPTを実施する際は、計画の立案からシナリオの作成、テスト実施や報告まで、入念な準備を行う必要があります。
また、ペネトレーションテストの実施をご検討中の方は、ぜひ多くの実績をもつ「LANSCOPE プロフェッショナルサービス」へご相談ください。また以下の資料もご活用くださいませ。
関連する記事
