前回は、「TLPTとは何か」というテーマのうち、「ペネトレーションテストのニーズ変化と形態変化」として、全体的な概要とトレンドについて解説しました。その中で、「脅威インテリジェンス」（脅威インテリジェンス主導型）をベースとして、明文化された「シナリオ」（シナリオ主導型）に沿って、実施するTLPTを「狭義のTLPT」（厳密な意味でのTLPT）として表現しています。

今回は、「狭義のTLPT」において必須要件である「シナリオ」について、そもそも「シナリオ」とはどういうものなのかを解説していきます。また、「シナリオ」で表現されるチームと役割を考察することはTLPTの実施体制とも深くかかわるため、併せて解説していきます。

シナリオの役割

「脅威ベースのペネトレーションテストに関する G7 の基礎的要素（仮訳）」では、「攻撃シナリオ」ないしは「脅威シナリオ」と表現されるシナリオと、「テストシナリオ」ないしは「ペネトレーションテストの計画」とされるシナリオの二種類が存在します。

では、そもそもTLPTにおけるそれぞれの「シナリオ」とは、どういう位置づけのものなのでしょうか。まずは、TLPTの一般的な実施フローの中で図示してみます。

TLPTの実施フロー

ここでは、「攻撃シナリオ」と「詳細計画」という言葉でそれぞれのシナリオを表現することにしますが、これらのシナリオは、目的と役割が異なります。

「攻撃シナリオ」は、脅威インテリジェンスと企業固有のリスク分析から作成する「脅威とは何か」「ゴール（企業がされてもっとも嫌なこと）は何か」を定義するシナリオです。TLPTにおいては、特定システムの脆弱性について評価することが目的ではありません。例えば、特定システムの脆弱性の評価自体は、脆弱性調査の市場が整備されている現在、十分な自動化が進んでおり、コスト的にも技術的にもさほど難しくはありません。しかし、企業などの組織は、有機的で個性的な組織体なので、一つひとつの脆弱性を評価するだけでは、組織全体のリスクを十分評価しているとは言えません。そもそも本来、TLPTにおける最大の目的は、サイバーセキュリティにおけるレジリエンスを評価し、強化していくことです。レジリエンスを評価するということは、一つひとつの脆弱性を評価することではなく、それぞれの脆弱性から起因する「ゴール」にかかわる攻撃のフローを、適切かつ総合的に、多層的に防御・検知・低減が出来ているかを評価する、ということ意味します。TLPTとしての評価を実施するにあたって、企業体・組織体固有の「ゴール設定」や「レジリエンスの評価軸」をゼロから作る必要があり、その役目を担うのが「攻撃シナリオ」ということになります。

一方、「詳細計画」は、実施に関する具体的な「How（どういう手法で）」「When（いつ、タイムテーブル）」「Where（対象、実施場所）」などを定義するシナリオです。TLPTにおいては評価対象はブルーチームであり、詳細計画はブルーチームへの開示をしないことが前提となります。結果的に、詳細計画にはレッドチームの動きが多く描かれることになります。詳細計画は、ホワイトチームによるブルーチームの評価に使用されるもので、ブルーチームに対して「問題」を投げかけることが目的であり、当然、その「問題」に対しては、レッドチームとしての明確な答案を用意する必要があります。

このように、一通り解説してみましたが、ちょっとイメージがわきにくいので、劇や映画などをたとえにした場合での、シナリオの位置づけを図示してみます。

上記の図で言うと、「企画原案」に該当するのが「攻撃シナリオ」、「台本」に該当するのが「詳細計画」になります。

なお、「企画原案」や「台本」以外にも、チームや主体と、その役割について解説できるように置き換えをしています。以下、引き続いて、体制についての解説をしていきます。

「経営層」

演劇にしても映画にしても、原則として鑑賞する主体「観客」と、スポンサーが必要です（観客自体がスポンサーのことも多々あります）。TLPTにおいては、観客およびスポンサーは、その組織体の事業継続について最終責任を負う主体「経営層」に相当します。

「経営層」は、

1. TLPTに対して投資を行い
2. TLPTのシナリオで評価することで
3. 事業継続に対するリアルなリスクを感じ取ることができるようになる

ことを、TLPTの実施に期待します。
当然ながら、TLPTの実施に関わる各チームは、最終的に観客である「経営層」を意識していくことが求められ、また、「経営層」へのメッセージは明確でわかりやすい内容とする必要があります。

「レッドチーム」「ブルーチーム」

TLPTにおいて「役者」のポジションを担うのは、

• レッドチーム
• ブルーチーム

と呼ばれるチームになります。

レッドチームは、実際の攻撃者に模した動きを行うチームで、専門技能を持つ専門家（ペネトレーションテスター）が担います。ブルーチームは、レッドチームの攻撃を防いだり、攻撃を検知して報告したりするチームで、セキュリティオペレーション、インシデントレスポンスの対応などを行う専門家がその役割を負います。

ところで、あえて主役を決めるとしたら、主役はブルーチーム、レッドチームどちらなのでしょうか？

TLPTは「Threat Led Penetration Test」という言葉の略語であるため、うっかりペネトレーションテスターがいるレッドチームが主役であると思われがちです。実際、アクションを起こすのはレッドチームからですし、「脅威ベースのペネトレーションテストに関する G7 の基礎的要素（仮訳）」では、ブルーチームには告知なしで実施することが原則であるとされているため、「台本」である「詳細計画」もレッドチームの行動が主体で描かれます（ブルーチームはアドリブでの演技を要求されます）。しかし、実際にはレッドチームはあくまで「悪役」であり、主たる被評価対象はブルーチームです。つまり、TLPTにおける主役は実はブルーチームであり、TLPTにおいては主役的中心的な役割である、ということに注意しておく必要があります。ブルーチームとしては、主たる被評価対象であるがゆえに、「攻撃を検知できたか」、「検知した攻撃に対して正しく対応／復旧できたか」が評価できるような報告（書）を、ホワイトチームに提示する必要があります。

TLPT実施における注意事項として、レッドチームは正しく「悪役」を演じる必要があります。正しくというのは、「台本通りに」「正確に」「主役をケガさせない」ことをイメージしてもらうとわかりやすいかと思います。具体的には、「詳細計画から大きく逸脱しない」「記録は完全に残し、答え合わせができる状態である」、「企業に対して再起不能なレベルまでの攻撃はしない」ことが求められます。

「ホワイトチーム」

TLPTにおいて、制作チームのポジションを担うのが「ホワイトチーム」となります。「ホワイトチーム」は、以下の役割を担います。

• プロジェクトの発足
• 攻撃シナリオの作成と承認
• 詳細計画の作成と承認
• ペネトレーションテストの実施調整
• 実施後の評価と報告

書きだしてみると、ホワイトチームの責務は重く、業務量も多いですが、実際、ホワイトチームの役目は重要で、ホワイトチーム次第でTLPTの品質が決まるといっても過言ではありません。このチームは、例えると監督や演出家、プロデューサーなど、TLPT全体の裏方であり、TLPT実施上の責任者でもあります。

例えば、レッドチームは、汎用的な攻撃手法について長けているので、詳細計画の作成はできるかもしれませんが、企業固有のナレッジが必要となる攻撃シナリオの作成は困難とおもわれます。また、レッドチームは、個々の脆弱性についての評価や一般的な対策の提案はできますが、組織全体のリスク評価は得意ではありません。一方、ブルーチームは、TLPT全体としての主たる被評価対象であるため、そもそも攻撃シナリオ及び詳細計画への関与は極力控えるべきです。結果として、TLPT全体の統制やレジリエンスの評価はホワイトチームでになうことになり、ホワイトチームのメンバーは、プロジェクトマネジメントやセキュリティに関する、相応の技量が必要となります。

ここまで、「TLPTとは何か」というテーマのうち、「シナリオと体制」について解説してきました。
次回は、引き続き「TLPTとは何か」をテーマとして、「ペネトレーションテストの実施と評価」について解説をしていきます。

参考リンク

• 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて
  https://www.fsa.go.jp/news/30/20181019-cyber.html
• 諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について
  https://www.fsa.go.jp/common/about/research/20180516.html
• 脅威ベースのペネトレーションテストに関する G7 の基礎的要素（仮訳）
  https://www.fsa.go.jp/inter/etc/20181015/02.pdf

Writer Profile

セキュリティ事業部
セキュリティ診断担当 チーフエンジニア
清水 正一

• セキュリティサービス