絞り込み検索
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トレンドで探す
2019.7.10技術ブログ

本番環境でTLPTを実施する際のポイント~White Teamに求められるケーパビリティ

前回紹介したコツ(※1)をふまえ、いざTLPTを実施することにしたとしよう。その際、いかに準備を重ねても、テスト本番ではまず間違いなく想定外のイベントが発生する。今回は、White Teamの視点から、弊社が自社ネットワークにおいてTLPTを実施した際の実体験とそこから得た教訓を紹介する。

前回White teamの役割は「CISOやRed Team、Blue Teamの間に立ち、Blue Teamの対応について評価・報告を行うこと」とお伝えしましたが、そこにはテストで見込む本来の効果を引き出すための各種検討・調整も含まれます。我々のテスト(※2)においても、約5ヶ月にわたる計画と関係者説明、そして、次に紹介するようなテスト中の突発イベント対応もWhite Teamが中心となり実施しました。

社外からの通報 ―「NTTデータが攻撃されている?」

Red Teamがクラウド上に用意したメールサーバから標的型メールを送信しはじめ、十数時間経過した頃でしょうか、White Teamへ次のような連絡が入りました。

「社員の誰かが、疑似マルウェアをVirsuTotal(※3)に検体としてアップロードしたようです。それと関係しているかわかりませんが、テスト用のドメインがSpamhaus(※4)のブラックリストに登録されてしまい、メールサーバのクラウド事業者が、メールの送信をブロックしてしまいました。Spamhausとクラウド事業者には解除を要請してみます(※5)。テストのほうは、念の為用意しておいた別ドメインへ切り替えることで続行できるか検討します。ただ根本的な解決ではないので再度ブロックされる可能性もあります。そうなったらちょっと困ったことになりますね。」

またしばらく時間をおいてCSIRT部門からも連絡が入りました。

「社外のセキュリティ会社から『NTTデータが攻撃されているのでは?』との問合せがきました。内容を確認の上、今回のテストと関係あるか回答をもらえますか。」

White Teamに求められるケーパビリティ

Red Teamは代替ドメインへの切り替えを行えばテストは続行できると言っています。しかし、その判断で問題ないでしょうか?

例えば、攻撃されているのではないかという社外からの問合わせを受け調査した結果、テスト起因だと判明した場合、基本的にはテストの続行を選択するでしょう。しかしながら、社外で不確かな情報が拡散し、自社の取引先・ユーザがその情報を目にすれば、さらなる問合わせに発展する可能性もあります。White Teamは、業務への影響、レピュテーションの低下といった事態を招く可能性も考慮し、テストの続行とともに必要な対処を検討・実施する必要があると考えるべきです。

また社員に対し、VirusTotalのようなサイトの利用を許可する以上、テストで使用する疑似マルウェア(検体)からの情報漏えいも考慮する必要がでてくるかもしれません。通常のマルウェアであれば機密情報が含まれることは考えにくいですが「十分に内部偵察が行われた上での犯行」を想定したシナリオを実施する場合には注意が必要になります。実際、我々自身、一部リージョンではこのようなテストを実施しました。長期的に内部を偵察し、組織固有のセキュリティ対策の実装状況なども把握されたという前提で(実際にはそれら情報をRed Teamに渡し)、対策を回避する仕掛けを擬似マルウェアに作り込んでもらったのです。我々の場合、当該シナリオの実施に関しては、関係者を相当に絞り込み、テスト計画をある程度説明した上で実施しました。つまり攻撃のリアル性を少々犠牲にし、リスクヘッジを優先したということです。

図:WhiteTeamの役割・求められるケーパビリティ

図:WhiteTeamの役割・求められるケーパビリティ

TLPTを実施する際、Red Teamの攻撃能力を重視する企業は多いでしょう。しかしながら、テスト中に発生する様々なイベントに適切に対処し、Red Teamが安心して攻撃を進められるようフォローするWhite Teamの存在も、無くてはならない存在です。そこには、被験組織の業務・システムに関する知識、セキュリティに関する知識、関係者とのコミュニケーション能力など様々な要素が求められます。TLPTを計画する企業においては、この点を十分理解し、テスト体制を整える必要があるでしょう。
※1 前回紹介したコツ

2019/6/17に本サイトに掲載の「TLPT ~全ての企業に必要であるモダンなセキュリティ診断~( https://www.nttdata.com/jp/ja/data-insight/2019/061702/ )」のこと。

※2 我々のテスト

日本(本社)と、欧州、北米、中国、APACのグループ各社を接続する自社ネットワークを対象としたTLPTのこと。

ファイルやウェブサイトのマルウェア検査を実施できるサイト

※4 Spamhaus( https://www.Spamhaus.org/

スパムメールのブロック等を目的に利用されるDNSブラックリストを公開しているサイト

※5 Spamhausへの解除要請

通常はドメインの所有者(今回のケースではRed Team(テスタ企業))から行うが、今回は申請が受理されなかったため、追加でWhite Teamからも申請を実施。被検組織自身から申告することで、無事ブラックリストから削除してもらうに至った。

お問い合わせ