TLPTは脅威ベースで仮説を立てて、社内システムに擬似攻撃を仕掛けて、自社のセキュリティ対策を評価するためのテストです。従来の脆弱性診断はシステムの脆弱性を洗い出すために実施します。一方で、TLPTは脅威を元に攻撃を仕掛け、被害や影響、防御プロセスを評価するために実施されます。本記事では、TLPTの概要に加え、脆弱性診断やペネトレーションテストなど類似の取り組みとの違いも解説します。
TLPTの概要
TLPT(Threat-Led Penetration Testing)は自社のセキュリティの取り組みです。TLPTの英単語を和訳すると脅威ベースのペネトレーションテスト、となります。その内容や必要性を確認しましょう。
脅威ベースで仮説を立てて仕掛けた疑似攻撃に対する耐性評価テスト
TLPTは脅威ベースで仮説を立てて、社内システムに擬似攻撃を仕掛けて、自社のセキュリティ対策を評価するためのテストです。
自社のセキュリティ対策が十分であるかどうかを評価するために行います。テストを終えてセキュリティを評価した結果、「強化すべきポイント」や「万が一侵入を許してしまった際の復旧優先順位」などが分かるため、セキュリティ計画に貢献します。
例えば金融機関システムのTLPTを実施し「ネットワーク隔離が不十分」であることが判明したとします。この「ネットワーク隔離が不十分」という評価を踏まえてセキュリティ対策に取り組むことで、効率よくセキュリティ強化を実現可能です。
TLPTによって自社のセキュリティを評価し、今後のセキュリティ対策につなげられます。
TLPTの必要性
TLPTは、システムに対する攻撃手法が多様化したことで必要性が高まっています。
従来、社内システムのセキュリティには境界防御の原則がありました。境界防御とはネットワークを社内と社外に分けて、その境界でセキュリティ対策をすることで、社内を安全に保つ技術です。
しかし、昨今の攻撃手法は境界防御では対応しきれなくなってきました。例えば以下の攻撃は境界防御では対応しきれません。
- 内部攻撃:社内のユーザーが内部ネットワーク上で攻撃を仕掛ける
- ゼロデイ攻撃:新しく生み出された攻撃のため境界防御をすり抜けてしまう
またモバイルデバイスやクラウドサービスが普及したことで、境界が曖昧になったことも、境界防御では対応しきれない要因です。
よってTLPTによって、境界防御では対応できない範囲までセキュリティ対策が行き届いているのかをテストする必要が出てきています。
そもそも「脅威ベース」とは
脅威ベースとは、脅威にフォーカスしてセキュリティリスクを低減する考え方です。脅威ベースの他には、「脆弱性ベース」「情報資産価値ベース」などがあります。それぞれとの違いが分かるように解説します。
セキュリティリスク=「情報資産価値」×「脆弱性」×「脅威」
セキュリティリスクは「情報資産価値」×「脆弱性」×「脅威」の組み合わせで評価できます。これらのうち、脅威にフォーカスしてセキュリティリスクを低減することを目指すのが、脅威ベースのセキュリティ対策です。脆弱性にフォーカスした場合は「脆弱性ベース」となります。
つまりTLPTは脅威ベースでペネトレーションテストを行うことで、セキュリティリスクの評価、低減を目指すテストです。
「情報資産価値」とは
TLPTにおける情報資産価値とは、情報を失った、または流出した際の企業への影響度の大きさのことです。情報資産価値が高いものの例として以下が挙げられます。
- 新開発中の技術
- 公開前の経営戦略
- 顧客情報
情報資産価値が高い情報を失うと、企業は社会的信頼の失墜や競争力の低下など、大きなマイナスの影響が及ぶことになります。そして情報資産価値が高い情報の方が攻撃者から狙われやすいものです。価値が高い情報の方が企業への損失が大きく、闇市場での取引価格も高いためです。
しかし、リスクを下げたいがために情報資産価値を低く保つことは企業の競争力が育たないため、望ましくありません。企業は情報資産価値を高めるために業務をすべきであり、セキュリティリスクを低く抑えるために情報資産価値を低くすることは本末転倒です。
情報資産価値が高い情報ほど、セキュリティリスクが高く、攻撃者から狙われやすいことを押さえておきましょう。
「脆弱性」とは
TLPTにおける脆弱性は脅威への準備が不足しているポイントを指します。脆弱性の例として以下が挙げられます。
- 社内システムやネットワーク上のセキュリティパッチの不適用
- 発生する可能性がある災害への対策不足
- バックアップが取られていない
- 障害発生時のルールが決まっていない
情報資産価値がある以上、脅威は発生するものです。しかし、脅威に対する準備をしていないと情報流出や改ざんを防げません。「脅威は発生するものだからできる対策をしておこう」という姿勢がなければ脆弱性を下げることはできないと考えましょう。
セキュリティリスクは3要素の掛け算です。脅威は自社だけで0に近づけることは基本的に不可能です。また先述したように、情報資産価値は0に近づけるべきではありません。一方で脆弱性は企業努力次第で、0に近づけられます。よって脆弱性を防ぐことがセキュリティリスクを低減する1つのポイントです。
「脅威」とは
TLPTにおける脅威は事故が起こる要因になり得る事象です。脅威の例として以下が挙げられます。
- 自然災害
- 外部からの攻撃
- 従業員による不正
- 人的なミス
ご覧の通り、脅威には外部および攻撃者が要因になる事象も含まれます。脅威は自社の
努力のみで0にすることはできません。そのため「脅威は発生するものだ」と割り切りが必要になります。
脅威が発生するからこそ、脆弱性への対策が必要です。セキュリティリスクを低減するために、自社が唯一できることが脆弱性を減らすことだとご理解いただけたのではないでしょうか。
「TLPT(脅威ベースのペネトレーションテスト)」と「脆弱性診断」の違い
TLPTとよく比較されるセキュリティ関連の取り組みが脆弱性診断です。TLPTと脆弱性診断の違いを以下の観点で解説します。
- 目的
- 評価観点
- 評価対象
- 実施時期
目的の違い
脆弱性診断の目的は社内システムに潜む脆弱性を洗い出すことです。一方でTLPTは自社のセキュリティ対策を評価することを目的とします。
脆弱性診断の場合は対象となる社内システムをネットワークやOSなどさまざまな面から検査し、脆弱性を確認します。TLPTのように攻撃を仕掛けるところまでは行いません。
TLPTは脆弱性の確認だけでなく、攻撃まで行います。よって攻撃に対する耐性の確認やセキュリティ対策の評価を行うことがポイントです。
評価観点の違い
脆弱性診断の評価観点では、社内システムに潜む脆弱性への技術面の対策のみが評価されます。一方でTLPTは技術的な対策のみならず、攻撃への検知や対応まで評価を行うことがポイントです。
脆弱性診断は擬似攻撃を行わないので、脆弱性が発生するポイントの指摘のみで完了です。一方でTLPTは擬似攻撃を仕掛けて、攻撃が発生した場合の組織内の連携性や、被害想定まで確認し、評価を行います。
脆弱性診断とTLPTは攻撃の有無に差分があるため、評価観点も異なります。
評価対象の違い
脆弱性診断の評価対象はシステムのみです。一方でTLPTはシステムだけでなく、運用者や責任者といったユーザー、対応プロセス、ルールなども対象となります。
脆弱性診断は対象システムへの診断を行えば完了です。一方でTLPTはユーザーが対応している様子や対応したプロセスをチェックし、攻撃への対応にどういった問題があったのかまで評価を行います。対応プロセスに不備があれば根本的な原因になっている可能性があるルールまで見直しを求められることもあるでしょう。
TLPTの方が評価対象が多くなることが分かります。
実施時期の違い
脆弱性診断はシステムの運用開始直前に実施されることが一般的です。一方でTLPTは多くの場合、システムの運用開始後に実施されます。
脆弱性診断は運用開始前に脆弱性を把握し、対策を行ってから運用を開始するために行います。これによりセキュリティリスクを最小化した状態での運用開始が可能です。
一方でTLPTは運用を開始してから実施します。運用開始後でなければどういった攻撃が来るのか読みにくいケースや、運用担当者、プロセスが固定されていないケースがあるためです。
システムの運用開始前後で、どちらを実施すべきか判断するとよいでしょう。
「TLPT」と通常の「ペネトレーションテスト」の違い
通常のペネトレーションテストとは「脆弱性ベース」のペネトレーションテストです。一方でTLPTは「脅威ベース」のペネトレーションテストになります。
それぞれの違いを以下の観点で確認しましょう。
- 実施目的
- アプローチ方法
- 評価対象
- テスト方法
TLPTのPTに当たるペネトレーションテストは、社内システムに擬似攻撃を仕掛けて以下の目的で実施されるセキュリティの取り組みです。
- 社内システムの脆弱性の判別
- 攻撃を許した場合の被害を想定
ペネトレーションテストについては別記事で解説していますので、あわせてご覧ください。
ペネトレーションテストとは?脆弱性診断との違いや手順、ツールの選び方を分かりやすく解説
実施目的の違い
脆弱性ベースのペネトレーションテストは技術的な脆弱性を特定、改善することを目的に実施します。一方でTLPTは脅威に対する攻撃への防御プロセスや評価が目的です。
脆弱性ベースの場合、システムの脆弱性を突いた攻撃をします。そして攻撃の結果、見つかった脆弱性に対して改善につなげることが実施目的です。
一方でTLPTは脅威をベースに、システムだけでなくユーザーや組織、ルールの脆弱性を突いた攻撃を実施します。そして攻撃に対する検知や防御するユーザー対応を確認し、今後のセキュリティ対策につなげることが実施目的です。
それぞれ攻撃に対しどういった防御をするのか、の確認は共通しますが、目的が異なります。
アプローチ方法の違い
脆弱性ベースのペネトレーションテストは既知の脆弱性に対して一般的な手法で実施します。一方でTLPTは脅威ベースにシナリオを立てた攻撃によるアプローチ方法です。
脆弱性ベースの場合、対象となるシステムの脆弱性を見つけ出します。そして見つけた脆弱性に対し、可能性がある攻撃を仕掛けることでテストを進める方式です。
一方でTLPTの場合、まずは脅威からどういった点がターゲットになるのか、から考えます。ターゲットとなったユーザーやシステム、プロセスの中から脆弱性を見つけ出し、攻撃手法を検討し、攻撃を実施する流れです。
評価対象の違い
脆弱性ベースのペネトレーションテストはシステムやプロセスを評価対象とします。一方でTLPTはシステムやプロセスに加え従業員やルールも評価対象です。
脆弱性ベースは対象となるシステムに攻撃を仕掛け、脆弱性から被害を発生させようとします。その際のシステムの挙動や対応プロセスが評価対象です。
一方でTLPTはシステムやプロセスに加え、社内のルールに問題がないか、対応した従業員や組織に発生原因や対応が遅れた原因がないのかを確認します。例えば組織に派閥があり、派閥の上司に従っているのであれば、別の派閥でトラブルが発生した際に同様の対応ができないでしょう。この場合は派閥があること自体にフォーカスし、指摘されることになります。
テスト方法の違い
脆弱性ベースのペネトレーションテストは攻撃用のツールを用いて攻撃を仕掛けることが一般的です。一方でTLPTは事前に攻撃と防御のチームに分かれて行います。
脆弱性ベースの場合、防御チームを事前に編成することはなく、通常の運用チームが対応をするのみです。一方でTLPTは攻撃チーム、防御チームなど役割ごとに事前に分けておき、テストを行います。
よって脆弱性ベースはテストの際に攻撃チームのみが綿密に計画を立てますが、TLPTの場合は攻撃チームと防御チームのどちらも計画を立てることになります。
TLPTの実施フロー
TLPTの実施フローは以下のとおりです。
- 発生し得るサイバー攻撃のプロセスを記した「脅威シナリオ」を作る
- シナリオに沿って疑似攻撃を行う
- 攻撃へ対処する
- セキュリティ耐性を評価し改善する
発生し得るサイバー攻撃のプロセスを記した「脅威シナリオ」を作る
TLPTの実施にあたり、まずは攻撃チームが発生し得るサイバー攻撃のプロセスを記した「脅威シナリオ」を作成します。
攻撃チームは企業の情報を集め脆弱性となるポイントから、どういった攻撃を仕掛けるかシナリオを立てます。外部に依頼する場合は、依頼者から必要な情報を集めて作戦を立てる段階です。また最近のトレンドを取り入れた攻撃を仕掛けることもあるため、世間の情勢や他社事例を参照することもあります。
攻撃チームが必要な情報の例として以下があります。
- 組織のインフラ
- セキュリティ状況
- 過去のペネトレーションテスト(TLPTを含む)の結果
- 外部公開情報
- システム設計書
これらを踏まえて脅威シナリオを作成し、どういった攻撃を行うのか決めます。
シナリオに沿って疑似攻撃を行う
攻撃チームがシナリオに沿って攻撃を行います。
脅威シナリオが完成した時点で、攻撃チームは攻撃用ツールの準備を行います。実際に攻撃を行った際に防御チームが攻撃を正しく検知できるのか、が1つのポイントです。攻撃を行い、企業の防御力を測ることが目的です。
特に最初の防御対応がどういった反応になるのか、でその後の攻撃や被害が大きく変わります。攻撃チームだけでなく、防御チームにとっても大切なフェーズです。
攻撃へ対処する
防御チームが攻撃への対処を行います。
検知や初期対応などは先述したとおりです。その後、防御チームは次なる対応をするためにチーム内での準備を進めます。例えば以下のとおりです。
- 記録
- 攻撃の分析
- 攻撃者の隔離
これらを行い、被害が最小限となるように対応します。
攻撃チームはシナリオに沿って攻撃しているため、攻撃を防ぎ切れれば終了です。すぐに終了した場合、企業としては望ましいシナリオですが、TLPTの観点でいえば攻撃チームのリサーチ不足といえる結果となります。よって攻撃チームは綿密なリサーチやシナリオ作成を経て、攻撃を仕掛けるべきでしょう。
セキュリティ耐性を評価し改善する
攻撃終了後、攻撃、防御以外の第三者のチームが防御チームの対応を評価します。
評価の際は攻撃に対する防御チームの対応が適切だったかどうか、がポイントです。防御チームは攻撃チームのシナリオを知りません。よって攻撃を受けている中で模索しつつ、対応する必要があります。その対応が適切でなければ攻撃による被害が大きくなるので、適切な対応ができていることが重要です。
他にも検出方法や問題点、レポートの作成など第三者チームの視点でTLPTの評価及び総括を行います。
TLPT実施時の役割分担
TLPT実施時の役割分担として以下があります。
- 経営層
- レッドチーム
- ブルーチーム
- ホワイトチーム
経営層
経営層は実施判断や、実施時のリソース(お金、人員)を提供する役割です。
経営層は直接的にTLPTのプロセスに携わるわけではありません。あくまで企業としてTLPTを実施するかどうかや、必要経費の算出を行う役割です。また外部に委託する場合は、提供する情報の選定なども経営層が行う場合があります。
思わしくない結果が報告されれば、追加費用の算出や、セカンドオピニオン的に別のTLPTを依頼することもあるでしょう。
レッドチーム
レッドチームは攻撃者チームです。
レッドチームの役割は以下のとおりです
- 攻撃に必要な情報の収集
- 攻撃シナリオの作成
- 攻撃の実施
レッドチームはTLPTにおいては悪意を持って脆弱性を突いた攻撃を仕掛ける役割があります。メンバーは現実世界でそういった業務をすることは基本的にありませんが、仕掛ける攻撃は一般的なツールを用いており、使い方を攻撃用に設定すれば攻撃可能となります。
よって攻撃用に使うツールに精通していることがレッドチームの人材として選ばれる1つの要件です。TLPTを外部委託している場合は、委託企業の従業員がレッドチームの役割を果たすケースがあります。
ブルーチーム
ブルーチームは防御側のチームです。
ブルーチームの役割は以下のとおりです。
- 攻撃の検出
- 攻撃への防御対応
- 攻撃の分析
- 改善策の検討
ブルーチームは日頃から攻撃を受けながらも被害を予防する対応をしています。しかし、それでも脆弱性が生まれてしまうのが企業やシステムの世界です。よって、日頃の攻撃では起こらない被害でもTLPTでは起こる可能性があります。
ブルーチームは防御対応をしつつ、攻撃の分析から必要な対応を検討する必要があります。またTLPTの結果を踏まえて、今後の対応を検討する役割も担当します。
ホワイトチーム
ホワイトチームはTLPTにおける第三者チームです。
ホワイトチームの役割は以下のとおりです。
- テストの計画(≠脅威シナリオの計画):スケジュール調整
- 攻撃、防御プロセスの評価
- ブルーチームに向けた今後の提案
ホワイトチームはTLPTの際に攻撃も防御も行いません。ホワイトチームの役割はTLPTを円滑に進めることや、評価を行って企業の今後につなげることです。
特に重要な役割が攻撃、防御のプロセスです。防御チームはシナリオを正しく予測できているか、攻撃の分析が適切に行われ、それに対する適切な防御ができているのかを評価します。
またTLPTの終了後に、今後の企業のセキュリティ強化に向けた提案をすることもホワイトチームの重要な役割です。
TLPTのシナリオ例|標的型メール攻撃の場合
TLPTのシナリオ例を以下で示します。標的型攻撃メールによる被害の事例を見たことから、標的型攻撃メールをテーマとして定めます。
- 脅威:昨今は標的型攻撃メールによる情報漏えいが増加している
- 目的: 組織内の機密情報にアクセスする
- 手法:特定の従業員にフィッシングメールを送信し、内部システムへのアクセス権を得る
- ターゲット: 財務部門の担当者、IT管理者など、機密情報にアクセスできる権限を持つ従業員
- 具体的な流れ
- 情報収集
■ 公開情報やSNSから、ターゲットとなる従業員の名前、役職、メールアドレスなどを収集
■組織のWebサイトやニュース記事から、ターゲットに関する背景情報や興味を収集 - フィッシングメールの作成、配布
■ 収集した内容をもとにターゲットが関心を持ちそうな内容でフィッシングメールを作成
■ 偽装した正規のWebサイトへのリンクや、悪意ある添付ファイルを含める - マルウェアの展開
■ フィッシングメールのリンクや添付ファイルを開いたユーザーにマルウェアを展開
■ マルウェアを基軸として機密情報にアクセスできるアカウント情報を盗む
ブルーチームは上記の攻撃に対し、検出や防御ができるのか、が評価されます。
セキュリティリスクマネジメントにおけるTLPTの役割
セキュリティマネジメントにおけるTLPTの役割は以下のとおりです。
- 攻撃者目線でシステムのセキュリティ耐性を評価できる
- 疑似攻撃を通して被害や影響の想定ができる
- 社内のセキュリティ意識が向上する
攻撃者目線でシステムのセキュリティ耐性を評価できる
TLPTを実施することで攻撃者目線でシステムのセキュリティ耐性を評価できます。
例えば、脆弱性診断の場合は自社が運用しているシステムの脆弱性を一通り洗い出すだけで完了します。また脆弱性ベースのペネトレーションテストでは、脆弱性からシナリオを作成するため、多くの場合はシステムの問題点にフォーカスした攻撃を行います。
一方でTLPTの場合は、脅威ベースで攻撃者目線でのセキュリティ耐性の評価が可能です。
またシステム以外にも防御プロセスや社内ルール、従業員の勤務環境など多くの点が評価対象となることもTLPTの特徴です。攻撃者目線でこれらの脆弱性を突いた攻撃を行い、どういった防御がなされるのか、を評価できることがTLPTを受けるメリットでもあります。
疑似攻撃を通して被害や影響の想定ができる
TLPTを実施することで擬似攻撃を受けるため、実際に攻撃を受けた場合の被害や顧客への影響の想定が可能となります。
どの企業も攻撃は受けたくないものです。また被害を発生させたくもありません。しかし、現実には攻撃され、被害が発生してしまうことがあります。企業にとって頭が痛い問題ですが、攻撃をされた場合の対応や被害をシミュレーションをしておくことは必要です。
TLPTによって擬似攻撃から対応プロセスや被害、影響の大きさを想定できます。実際に被害が起こった場合に顧客から信頼を失う事態につながれば二次被害となります。TLPTを実施しておくことで被害想定ができていれば、一次被害、二次被害ともに被害を最小限にできる可能性が高まることがメリットです。
社内のセキュリティ意識が向上する
TLPTを実施すると社内のセキュリティ意識が向上します。
セキュリティリスクを抱える以上、企業への攻撃は日々発生するものです。TLPTによって普段見慣れない攻撃を受けると「こういった攻撃にも対応しなければならない」と当事者として捉えられるようになります。TLPTの経験によってセキュリティ意識が向上すれば、実際の攻撃の被害を小さくできる可能性が高まるでしょう。
またTLPTを実施しておくことで、実際に被害が発生した場合でも「TLPTのときのように」と振り返りながら対応できます。従業員も落ち着いた対応をできる可能性が高まり、被害対応が成功すれば被害の縮小が可能です。
今後TLPTに求められること
サイバー攻撃に対応するためにTLPTの需要は高まるでしょう。
サイバー攻撃は年々高度化しています。新しい技術が取り入れられたり、被害者が気が付きにくい仕組みが導入されていたり、とさまざまな攻撃手法が生み出されるためです。
こうしたサイバー攻撃に対応するためには、TLPTの実施はもちろん、企業は日頃からセキュリティ強化に努める必要があります。TLPTは自社のセキュリティ耐性の評価の観点も大切ですが、自社のセキュリティ意識を高めることにも貢献可能です。
またTLPTの実施自体にも生成AIのように最新技術が取り入れられる可能性が高いでしょう。今後も生まれるであろう新しい攻撃手法に対応したTLPTが実施されることになります。
TLPTが最新の攻撃にも対応できるように進化を続けることが、今後の社内セキュリティを維持強化するために重要になるでしょう。
三和コムテックのSCT SECURE 診断ソリューションでセキュリティ強化を実現
三和コムテックが提供するSCT SECURE 診断ソリューションでセキュリティ強化を実現できます。
SCT SECURE診断ソリューションはさまざまなメニューを用意していることが特徴です。例として以下があります。
- OSINT サービス:データや情報の流出状況などを可視化
- クラウドスキャン:脆弱性診断
- インターナル診断:内部ネットワーク診断
- TLPTサービス:TLPT
上記のように脆弱性診断やTLPTのメニューも用意しています。当記事ではTLPTと脆弱性診断、通常(脆弱性ベース)のペネトレーションテストの違いを解説しました。しかし、まだ違いを理解できず、どちらを実施すべきか判断できていない担当者は下記リンクからご確認ください。
SCT SECURE 診断ソリューションマップ
https://product.sct.co.jp/product/security/security-diagnosis-solution-map
まとめ
TLPTは脅威ベースで仮説を立てて、社内システムに擬似攻撃を仕掛け、自社のセキュリティ対策を評価するためのテストです。TLPTを実施することで、脅威に対する自社のセキュリティ耐性の評価だけでなく、社内のセキュリティ意識向上の効果も見込めます。
三和コムテックが提供するSCT SECURE 診断ソリューションではTLPTも含め、さまざまなセキュリティ強化を実現するソリューションを用意しています。自社のセキュリティ強化に興味がある担当者様は下記リンクからご相談ください。
