EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
脅威ベースのペネトレーションテスト(TLPT/Threat-Led Penetration Testing)
脅威ベースのペネトレーションテスト(TLPT)は、システムの脆弱(ぜいじゃく)性を評価するテスト手法の1つです。高度化するサイバー攻撃から組織を守るためには、組織が直面する脅威を把握し、サイバー攻撃への耐性を継続的に検証・改善していくことが求められます。EYは脅威情報に基づいたサイバー攻撃シミュレーションを通じて、組織におけるシステム、人的要素、プロセスに関する脆弱性を特定し、改善策を提案いたします。
背景
近年、現実的な脅威シナリオに基づいて模擬的なサイバー攻撃を実施する「脅威ベースのペネトレーションテスト(TLPT)」が重要視されています。組織にとって、デジタルトランスフォーメーション(DX)、リモートワーク、IoT、クラウドサービス、AIといったテクノロジーの導入は、ビジネスの推進に不可欠です。これらの技術はビジネスの成長を促進する一方で、サイバー犯罪者による攻撃の機会を増やす「アタックサーフェス」を拡大しています。サイバー犯罪のエコシステムは専門化・高度化し、サイバー攻撃が「サービス」として提供されるようになりました。これにより、サイバー攻撃の敷居が低下し、組織は前例のない脅威に晒(さら)されています。
組織は、実際のサイバー攻撃に対するセキュリティ製品の防御・検知能力や、システムを監視するチームの対応能力をテストによって検証し、必要に応じて改善することで、攻撃への耐性を強化できます。より効果的な検証のためには、潜在的なサイバー犯罪者とその攻撃手法を理解することが不可欠です。
このような背景から、金融庁や金融情報システムセンター(FISC)は、諸外国におけるTLPTの実施状況の報告書や実施のための手引書を提供しています。
参考
⾦融庁「諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について」(2024年10⽉1⽇アクセス)
金融情報システムセンター「金融機関等におけるTLPT実施にあたっての手引書【PDF版】」(2019年)
EYができること
サイバー攻撃をシミュレートするためには、クライアントが直面するサイバー脅威を分析し、高度な攻撃手法を再現するための専門知識が必要となります。EYはサイバーセキュリティ領域に関する数十年の経験を持つ熟練のプロフェッショナルを有しています。
EYのサイバーセキュリティのプロフェッショナルは、「クライアント固有のサイバー脅威情報の収集・分析」「脅威情報に基づく攻撃シナリオの作成」「シナリオに沿った疑似攻撃(テスト)の実施」「システムや人・プロセスに関する脆弱性の特定と報告」を行う、脅威ベースのペネトレーションテスト(TLPT)を提供します。
TLPTのアプローチ
- 計画・準備
脅威ベースのペネトレーションテスト(TLPT)を円滑に進めるために、詳細スケジュールや実施体制、進捗・課題管理の方針等について認識合わせを行い、TLPT全体の計画概要を示す「実施計画書」を作成します。
- シナリオ構築
現実的に発生し得るサイバー攻撃のシナリオを作成するため、クライアントに固有の脅威情報の収集・分析を行います。クライアントに関係の深い脅威情報を優先的に収集・分析するために、問診票を用いてヒアリングを実施します。
脅威分析の結果として、関連する脅威アクターの詳細や攻撃シナリオ案を含む「脅威インテリジェンス導出結果」を作成します。
- テスト実施
攻撃シナリオに沿ったテスト実施のために、テスト対象スコープやテストスケジュール、テストケース等を含む「テスト詳細計画」を作成します。
テスト詳細計画の内容に基づき、クライアントの環境に対してテスト(疑似的なサイバー攻撃)を仕掛けます。
- 結果報告
テスト実施後、テストで行った攻撃活動へのブルーチームの検知・対応状況を、問診票およびヒアリングによって確認します。
テスト結果およびブルーチームの対応結果を評価し、推奨される改善方針を含めた「結果報告書」の作成を行い、報告会を開催します。
脅威ベースのぺネストレーションテスト(TLPT)アプローチ全体像
攻撃シナリオ例
攻撃シナリオ(テスト)実施イメージ
主なステークホルダーと役割
- ホワイトチーム
TLPTの全体的な調整と各チームの活動管理を担当します。クライアントとEYの双方から選出された担当者で構成され、プロジェクトの円滑な進行を支えます。
- ブルーチーム
レッドチームによるテストに対して、実際のサイバー攻撃と同様に検知や対応といったオペレーションを行います。テストは通常、事前にブルーチームに知らされない「ブラインド形式」で行われ、リアルな対応を評価します。
- 脅威分析チーム
クライアントが直⾯する脅威情報を、ダークウェブを含むさまざまな情報源から収集・分析し、攻撃シナリオを作成します。
- レッドチーム
テスト詳細計画に基づいてテストを実施し、結果を評価します。テストによって特定された発見事項を報告書にまとめます。
役割分担
EYの関連サービス
脆弱性診断 ペネトレーションテスト
インフラストラクチャーにおける脆弱性の検査、Webアプリケーションから情報の詐取ができないかを確認する診断、実際の攻撃者と同様の攻撃手法を用いて企業ネットワークへの侵入を試みるRed Teamアセスメントなど、12種類にわたる脆弱性診断やペネトレーションテストにより幅広い診断サービスを提供します。
サイバーインシデント経営層向け訓練サービス
サイバーインシデントによりクライアントの企業価値を毀損(きそん)させないため、サイバーセキュリティ態勢の強化は経営陣の責務であり、サイバーインシデントの対応においては一つの経営判断が企業の事業継続に重大な影響を与えます。経営陣向けの訓練という形でEYが危機管理態勢の強化をご支援します。
サイバーインシデントの検知および対応の最適化と自動化
企業におけるサイバーインシデントの検知と対応の状況を把握し、分析や封じ込めなどの自動化を含む最適化の計画立案から構築までを支援するとともに、当該内容に基づきSOC/CSIRT業務をマネージドサービスとして提供します。
EY独自フレームワークによるサイバーセキュリティ態勢の成熟度評価
EYの評価フレームワーク Cybersecurity Program Assessment(CPA)を用いて、企業のセキュリティ態勢の現状評価を行います。