ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。
(編集:株式会社ラック・デジタルペンテスト部)

良いTLPTを実施するには

※こちらの記事は2020年10月26日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

こんにちは。ラック デジタルペンテストサービス部、ペンネーム Diogenes です。主に情報システムに対するペネトレーションテストを担当しています。本稿が初登場となります、どうぞよろしくお願い致します。
今回は、ペネトレーションテストの中でも最近よく聞く言葉である「TLPT」について、概要説明と実施のコツをご説明できればと思います。

TLPTとは

小学生の歴史の時間に、「坂上田村麻呂(さかのうえのたむらまろ)」という平安時代征夷大将軍について習ったことを覚えているでしょうか? はじめてこの人の名前に触れたとき、私のそれまでの人生で実在した3人、「坂上」「上田」「田村」の名前が全部入っていて、なんとも欲張りな名前だと感じたものですが、私は、TLPTの話をするとき、この時のことを思い出すことがあります。
TLPTが、同じように「全部盛り」だからです。TLPTの訳語には、「脅威ベースのペネトレーションテスト」があてられますが、本当は「インテリジェンス情報に基づくリスク分析と、それを踏まえた脅威シナリオ検討、およびその実地ペネトレーションテストと Red/Blue Teamリアルタイム演習によるレジリエンス向上」とでも呼ぶべきものです。坂上田村麻呂が3人分の名前なら、TLPTも3プロジェクトは入ったものと言えると思います。
TLPTは、「全部盛り」と申し上げた理由は、このようなことです。
レジリエンスとは、ここではサイバー攻撃に対し、うまく対処して致命的被害につながることを避け、また被害がでた場合も迅速に再発防止や復旧が行える組織としての能力を指します。)

何が盛られているか

「全部盛り」の中身を少し分解しましょう。TLPTを実施するとき、下記のような要素が必要とされます。

「インテリジェンス分析」、「リスク/脅威分析」、「ペネトレーションテスト」、など、それぞれがひと仕事なのに、これだけ沢山あると、何が目的なのか、どこが力点なのか、分からなくなってしまいそうです。
良いTLPTを実施するコツその1は、ズバリ力点を定めることと言えると思います。
最低限、弱点分析面に力を入れるのか、演習による組織対応力向上面に力を入れるのかは明確にした方が良いと思います。全く軽重を付けないのは、何も判断できていないのと同じです。そもそも力点を考える過程でこそ、自社に今本当に足りないものは何と何で、その優先順位は何で、現状の立ち位置はどうで、という考察が可能になるのではないでしょうか。

目的に立ち返ろう

TLPTの実施に際して、重点目的、注力ポイントを何にするかということに関して、汎用的正解はないと思います。しかし、TLPTが求められる背景は、そもそも組織のレジリエンス向上が求められていたことだということは指摘できます。そうでないならば、TLPTではなく、単なる「ペネトレーションテスト」を実施すればよいのです。
したがって、例えば「インテリジェンス分析」、「リスク分析」、「シナリオ構築」あたりは軽めにすませ、(または、それらの情報には常に触れていて、お手のものである業者のパッケージ等に任せ) BlueTeam を巻き込んだ演習的側面に力点を置く、ということには一理あると思います。
レジリエンスが向上したならば、それは目的を達成した良いTLPTで、レジリエンスが向上しないならば、整理された綺麗な分析的ドキュメントがどれだけ沢山残されていても、結局良いTLPTではなかった、という大前提を、的として外してはならないと思います。

レジリエンス向上のためには

では、結果的にレジリエンス向上につながる BlueTeam 演習では、どのようなことに気を付けたら良いでしょうか。
ポイントを、2つあげましょう。

1) レベルにあった実施形式

TLPTに関する攻撃文書などでは、完全抜き打ちでの実施が推奨案となっています。十分に経験を積んだ組織ならば、それも良いと思います。しかしそれは、「組織レジリエンス向上」という目的を達成するのに最善ではないケースも少なくないないのではないか、と疑問に思うこともあります。
僭越ながら、私たちが実際の攻撃者を模して実施する通常のペネトレーションテストでは、すべての検知網をすり抜けた、監視製品が何も検知しなかったという結果となることは、珍しいことではありません。
そのような場合、組織的レジリエンス向上というTLPTの目的を達成するためには、逆に「検知される」と分かっている攻撃手法を投入するなどの、演出が必要になるでしょう。
BlueTeamの成熟度に応じて、最適なやり方を選択できるか、が重要だと思います。

2) 「気が利く」ホワイトチーム

良い演習とは、
・そのまま本番で役に立つ「型」がふんだんに含まれている
・現在の能力を「少し」超えるレベルが求められる
・得られた教訓を、きちんと言語化して終わる
などのことが重要だと思います。

そうなるようにコーディネートするのが、ホワイトチームが役割です。ホワイトチームとは、いわば攻撃側 RedTeam と、防御側 Blue Team の橋渡しをしながら、進行やレベルを調整して演習/訓練全体をコーディネートする役割を担います。目的に照らして、その働きが TLPT の成否を分けることは、明らかでしょう。

まとめ

TLPTには、実に様々な要素が含まれることをご紹介し、またレジリエンス向上というTLPTの大目的に照らして、最初から理想のTLPTを目指さず、とにかくレジリエンス向上に資する実施方式とする考え方にも一理あるのではないか、という私の考えについて、紹介させていただきました。
皆さまの、良いTLPT実施の一助となれば幸いです。