その他

インシデント対応力を評価するセキュリティー演習サービス 攻撃を伴う訓練で「想定外」をつぶす――セキュアワークスジャパン

2018/12/17 07:00

週刊BCN 2018年12月10日vol.1755掲載

 デルテクノロジーズ傘下で情報セキュリティーサービスを手掛けるセキュアワークスジャパン(ジェフリー・エス・モルツ代表取締役)は11月29日、企業に対してサイバー攻撃を含む実践的なセキュリティー演習を行い、インシデント対応能力を評価・訓練する「Purple Teamサービス」の提供を開始した。費用は1000万円から。

 セキュアワークスはこれまで、現実に発生するサイバー攻撃の場面を想定し、専門チームが実際に企業の情報システムへの侵入などを試みる演習プログラム「Red Teamサービス」を提供していた。新たに開始するPurple Teamサービスは、実践的な演習を通じてインシデント対応能力を高めるという目的は共通だが、より防御側の体制に注目した内容となっている。CSIRT(セキュリティー事故対応チーム)や運用担当者にセキュリティー事故を実体験してもらい、適切な対応がとれるかどうかを検証し、報告書の形で組織の対応能力を客観的に評価する。
 
古川勝也
主席上級セキュリティ
アドバイザー

 同社でマーケティングを担当する古川勝也・主席上級セキュリティ・アドバイザーは、「実践経験の無い組織は本番に弱い。インシデント対応のノウハウは机上だけで学べるものではなく、深刻なケースに触れたことのない企業が有事に対応するのは難しい」と指摘する。国内でも多くの大企業ではCSIRTなどセキュリティー体制の整備が進んでいるが、サイバー攻撃に遭った際、それが本当に機能するかを評価したい、という声が同社の顧客から寄せられていたという。
 
三科涼
シニアマネージャー

 実際にサイバー攻撃手法を用いて演習を行う期間は3~5日程度だが、対象となる企業の事業内容やシステム構成、組織体制に即した形で攻撃シナリオや評価基準を策定し、演習後にはフォローアップ教育や報告会などを実施するため、1回のプロジェクトに必要な期間は約3カ月を見込んでいる。同社でセキュリティー/リスクコンサルティングを担当する三科涼シニアマネージャーによると、「従来のRed Teamサービスでも、インシデントに備えて事前に用意していた文書の内容が現実の対応には役立たない、セキュリティー機器を導入していたが必要なログが取れていないなど、いざやってみると想定通りに動けないことが認識されるケースが多かった」といい、サービスを利用した顧客の反応は非常に良いという。

 Red Teamは未知のリスクの洗い出しも目的としているため、顧客にも気付かれない形でさまざまな侵入テストを行うのに対し、Purple Teamは組織の評価にフォーカスしているため、シナリオ設計段階で顧客から合意を得た範囲で攻撃を行う。このため、「訓練とはいえ自社を無制限の攻撃にはさらせない」という理由で、Red Teamの実施に踏み込めなかった企業からも利用が期待できるとしている。(日高 彰)
  • 1