白石 三晃
BSides Tokyo 2018スピーカー。セキュリティ・キャンプ全国大会講師(2023-2025)。 国内初となるレッドチーム演習サービスを2016年にセキュアワークス株式会社にて立ち上げ、技術責任者としてサービスデザインとプロジェクトデリバリを担当。2022年より某外資系セキュリティ会社に所属。同社国内レッドチーム演習サービスの立ち上げ責任者を務めるとともに、グローバルチームの一員として海外レッドチームプロジェクトにも参加。
OSEE/OSCE/OSCP/GREM/CARTP/CHMRTS/CISSP/CISA/情報セキュリティスペシャリスト/ソフトウェア開発技術者/技術経営修士(専門職)
TLPT2.0の提案 ー「敵を知る」と「自分を知る」の分離
金融機関を対象とするサイバー攻撃演習の仕様を定めた「TLPT(Threat Led Penetration Test)」について、その実効性をより高めるためのバージョンアップの提案です。
現状のTLPTは「脅威インテリジェンス→攻撃シナリオ作成→サイバー攻撃演習」という枠組みになっていますが、仕様に定められている「対象組織・対象システム固有の脅威インテリジェンスに基づく詳細な攻撃シナリオの策定」と「攻撃シナリオに基づくサイバー攻撃演習の実施」が、プロジェクトの柔軟性や効果性を不必要に制限していると考えます。
本来、脅威インテリジェンスとサイバー攻撃演習は別々に実施可能なものであり、詳細な攻撃シナリオを必須として両者を無理に結合していることがTLPTの不自然さを生んでいます。具体的には以下のとおりです:
- 脅威インテリジェンスがTLPTのためのワンショットの取り組みになってしまう
- 詳細な攻撃シナリオはサイバー攻撃演習にあたっての必須要件ではない
- 攻撃シナリオに基づいた演習を主眼にすると、「誰も気づかなかった攻撃経路の発見」というサイバー攻撃演習の本質が損なわれる可能性がある
このため、TLPTの理念は踏襲しつつも、以下の形に再設計することを提案します:
- 脅威インテリジェンスと攻撃シミュレーションの分離
- 脅威インテリジェンスは継続的な活動として実施。脅威インテリジェンスに基づき攻撃シナリオを定期的に作成し、対策の必要性を金融機関自身で確認する
- 攻撃シミュレーション開始時はスタート(攻撃起点)とゴール(攻撃目標)の定義のみを必須とし、詳細な攻撃シナリオは任意とする
講演者は、2016年より日本初の本格的なサイバー攻撃演習サービス「レッドチーム演習サービス」の立ち上げ責任者を務め、以降、大手金融機関を含む多数の組織へのサイバー攻撃演習を主導してきました。国内・海外の多様な組織に対する攻撃演習の経験をもとに、上記の提案に至った背景を、特に以下の点に基づいて説明します:
- 脅威インテリジェンスは「敵を知る」ための重要な手段
- サイバー攻撃シミュレーションは「自分を知る」ための重要な手段
- 現行のTLPTにおいて両者が密結合している理由に関する考察
聴衆は本セッションから現行のTLPTの構造的問題点を整理でき、それを改善する新たな枠組みの設計指針を得ることができます。本セッションがサイバー攻撃演習サービス関係者、脅威インテリジェンスサービス関係者、規制当局、金融機関のCISOやセキュリティ担当者など、TLPTに関わる多くの方々の建設的な議論のきっかけとなることを期待します。