SecureWorks Japanは11月29日、あらかじめ計画されたシナリオに従って攻撃シミュレーションを行い、インシデントへの対応の確認や課題抽出を行う、インシデント実践演習サービス「Purple Teamサービス」の提供を開始すると発表した。このサービスでは有事の際に求められる対応を「達成目標」として掲げ、これに基づいた評価基準を設定、演習を実施する。
同社のRedチームが攻撃を仕掛け、Blueチームがその防御を行う実践的なサイバー演習を実施して、組織の危機対応力の総合的な「評価」と、対応の中で得た学びや気づきを与える「教育」を提供する。
-
「Purple Teamサービス」の実施項目
同社は2015年から、同じくインシデント実践演習サービスとして「Red Teamサービス」を提供しているが、こちらは攻撃方法などは伝えず、管理者権限を取る、情報を搾取するといった目的のために、さまざまな攻撃を行うもので、想定外のインシデントへの対応力や、新たな脆弱性の発見という点も視野にいれている。一方、「Purple Teamサービス」は、想定している攻撃に対して、定められた対応ができるのかを確認することが主眼となっている。
-
Red TeamとPurple Teamのサービス比較
したがって、「Red Teamサービス」は、1~1.5カ月と長期で攻撃が行われるのに対して、「Purple Teamサービス」は、3~5日間で時間割を決めて行われる。価格は1000万円~。
攻撃に関しては、管理者はあらかじめ知らされているが、実際の運用担当者には知らせない。実際の演習は、本番環境で行うのが基本だという。
「Purple Teamサービス」は、キックオフ/事前調査で2-3週間、演習シナリオと計画の作成および評価基準のチューニングで2-3週間、演習準備とリハーサルおよび本番と評価で1-2週間、報告書作成と報告会、およびフォローアップ教育で2-3週間という構成で、サービス実施期間は約3カ月。事前準備に大きく時間を割くのが特徴だ。
-
プロジェクトと流れと役割
このような実践的な訓練が必要とされる背景には、インシデントへの対応準備が進んでいる背景がある。すでに似たような演習は海外のSecureWorksでも非公式に行われているが、日本ではとくにニーズが高いため、世界に先駆けて公式サービスとしてメニュー化したという。
SecureWorks Japan Security and Risk Consulting シニア マネージャー 三科涼氏
実践形式の演習についてSecureWorks Japan Security and Risk Consulting シニア マネージャー 三科涼氏は、「最近は、CSIRT(Computer Security Incident Response Team:インシデント対応チーム)の構築や机上の訓練もできつつあるが、サイバー攻撃に対抗するためには、想定外のリスクに対応できる成熟したインシデント対応能力とプロセスが不可欠だ。成熟度を高めることは、『準備』『実践的な教育と教育』『評価』を体系的に行うことによって実現できる。インシデントにおいては、有効になっているはずの機能が無効になっていたり、ログがとれていなかったり、想定外のことが起こる。実践経験のない組織は本番に極めて弱い」と語った。
