2019年6月17日技術ブログ

TLPT ～全ての企業に必要であるモダンなセキュリティ診断～

セキュリティ診断と一口に言っても、ヒアリングによるアセスメントに近いもの、市販の脆弱性スキャンツールを用いて報告するだけのもの、ホワイトハッカーと呼ばれる実際の攻撃者以上のスキルを持った人たちが職人芸で行うもの、などその内容はピンからキリまで存在する。今回は、昨今大変に注目の集まっているTLPTの概要と、実施する上でのコツを説明する。

TLPTとは

Threat Led Penetration Test、日本語では脅威ベースのペネトレーションテストの略称です。
とても平たく言えば、これまでよりも「とても高度な」セキュリティ診断手法の一種です。

TLPTは

企業の置かれている環境（攻撃者の動向、同業他社のインシデント事例、社内システムの作り、運用に携わる組織、etc）を評価し
攻撃者の目線で「何が盗む価値のある資産」で「どこが弱点」で「どのようにその情報にたどり着くか」を検討し
実際に疑似攻撃を行うことで「システム」だけでなく「組織」も評価する

という3ステップで行われます。
この手法は、これまでのセキュリティ分析・診断手法の集大成とも言えるものです。

図1：TLPT概要

TLPTがイマ注目される理由

日本で注目が集まった一番の理由は、2018年10月に『「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデート』（※1 金融庁の報道発表資料、2018年10月19日）により、金融機関が取り組むべき方針として、「脅威ベースのペネトレーションテスト（TLPT）」等の高度な評価手法の活用を図るように指示が出たことです。

方針の背景として、これまでは「現金」や「預金」などが資産の中心でしたが，現代ではそれに加え、「情報」の資産価値が高まっています。多くの金融システムや基幹システムがデジタライゼーションによりシステムがグローバルなネットワークに公開されたこと、昨今の攻撃の高度化・激化・自動化などによって、これまで以上の速度でセキュリティリスクが高まっていることも影響しています。

このような時代のため、定型的なセキュリティ診断では、実際の攻撃に使われるセキュリティホールを見つけ、防ぎきることが難しい時代になりました。より攻撃者の持つ情報量や視点に近いところから柔軟に診断を行うTLPTに大変に注目が集まっています。

TLPTを進めるうえでの役割分担

TLPTについての概要がつかめ、注目される理由が分かったところで、TLPTを進めるうえでのコツをお話しする前に、各組織の役割分担を整理します。

名称	役割
CIO	情報システムを用いた企業戦略関して、経営レベルでの意思決定を行う。
CISO	情報システムのセキュリティに関して、経営レベルでの意思決定を行う。 TLPTを実施する上での責任者を担う。
Red Team	システムや組織への攻撃を担当するチーム。自社内でチーム構築をすることが望ましいものの、専門性の高いスキルが必要なため、外部ベンダーを交えて一時的に構築することが多い。
Blue Team	システムや組織への攻撃に対し、検知・分析・対応を行うチーム。 CISOをトップとしてSOC，CSIRTを中心に組織される。
White Team	TLPT実施にあたって、CISOやRed Team、Blue Teamの間に立ち、Blue Teamの対応について評価・報告を行うチーム。普段からRed TeamやBlue Teamに従事しているメンバーのうち、技術的スキルの高いメンバーや意思決定層に近いメンバーから秀でたものを選抜して構築する。自社内でチーム構築をすることが望ましいものの、専門性の高い知識だけでなく、業務への理解も必要なため、外部コンサルティングを交えて構築することが多い。

日本企業でTLPTを進める上でコツ、10箇条

筆者らが様々な企業や団体にRed TeamやWhite Teamとして参画した経験をもとに、TLPTを進めるうえでのコツをチェックリスト形式で説明します。

社内でTLPTを企画する際にご利用いただけると幸いです。

✔	No	コツ	説明
□	1	White Teamのリーダーシップ	TLPTの成功にはWhite Teamの持つ目的意識や権限、巻き込み力などが最重要。
□	2	CIO/CISOとの距離	CIOやCISOとWhite Team間での意思疎通を綿密に行うようにする。可能であればCIOやCISOにもWhite Teamのメンバーを担っていただくようにする。
□	3	攻める側の知識や思考	White TeamはTLPTの実施にあたって守る側の知識や思考だけでなく、攻める側（Red Team）により近い知識や思考を持つようにする。当該の知識や思考がないと効果の期待できるシナリオが作成できない。
□	4	実施ではなく結果の活用が大切	TLPTの実施により得られた結果から、正しく対策案を立案し、実行することを到達目標に含める。
□	5	人的脆弱性への理解	最大の脆弱性は「人」や「組織」にあることを理解し、攻撃シナリオに含める。
□	6	有識者の参画	社内ネットワークや利用するクラウドサービスなどの関連性を理解するメンバーをWhite Teamに参画させる。扱うデータの内容、利用者を熟知しているメンバーをWhite Teamに参画させる。
□	7	対象範囲の選択と集中	業務に影響が出やすいフロントサイド（対顧客）より、バックオフィス（対社内）から優先的に実施する。
□	8	システムダウンを恐れない	発生しうるシステム障害リスクを怖がり過ぎると、実際の攻撃との乖離が大きくなりTLPTの効果が低下してしまうため、バランス感覚を常に意識する。
□	9	中長期的対策の遂行	システムに対する対策と比べて、「人」や「組織」に対する対策は、教育や評価制度の見直し、採用といった中長期的／制度的な視野での取り組みが必要な対策が多いことに留意する。
□	10	再評価と前向きな反省	攻撃の高度化や対策の陳腐化の速度は日々上がっているため、継続的・定期的に再診断・再評価できるよう計画する。過去の対策の不十分性に目を向けるのではなく、課題として前向きにとらえられるようにする。

TLPTの成功とは

世界の注目は「守りのIT投資」から、AIやIoTといった「攻めのIT投資」に移ってきています。

TLPTが正しく機能すると、セキュリティという切り口で、システムや組織に関する等身大の自社像を把握することができます。これは、「守りのIT投資」だけでなく、「攻めのIT投資」を行う上での重要な情報源となり、変化への対応力を高め、企業価値の創出へとつながります。

最後に

これらのコツを利用して弊社社内のシステム・組織にもTLPTを実施しました。
次回は、現場の生の声としてその概要をお知らせします。

※1「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて

https://www.fsa.go.jp/news/30/20181019-cyber.html

※ 諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について

https://www.fsa.go.jp/common/about/research/20180516.html

※TLPTの意義と価値～ペネトレーションテストの現場から～（1）

http://www.intellilink.co.jp/article/column/sec-tlpt-01.html

お問い合わせ

Profile

NTTデータ技術革新統括本部システム技術本部セキュリティ技術部越川祐、山口智丈

プロフィールを見る

越川祐：無類のIT好き。趣味：IT、仕事：IT。環境構築～アプリ実装までなんでも手を出す。
金融系大規模プロジェクトにて、トラブルシューティング、システム移行の全体統制などに従事。その後にセキュリティの世界に入り、Red Teamとして様々な企業・団体などのセキュリティ診断を中心に活動。セキュリティ設計～セキュリティ試験を通し、システムのセキュリティレベルの向上に取り組む。

山口智丈：無類のカレー好き。NTTデータ入社後、官公庁システムの開発・運用、社内のエンジニア向けのテクニカルサポート業務を経験した後、現在、セキュリティコンサルティングの業務に従事。顧客環境のセキュリティ対策向上やガバナンス確立に向けて取り組んでいる。CISSP、GIAC（GSEC）、MCSE。