[新製品・サービス]
SecureWorks、実戦形式のサイバー攻撃でCSIRTを評価・教育する「Purple Teamサービス」
2018年11月29日(木)日川 佳三(IT Leaders編集部)
SecureWorks Japanは2018年11月29日、実戦形式でサイバー攻撃のシミュレーションを実施するサービスの1つとして、CSIRT(インシデント対応チーム)の評価と教育を目的とした「Purple Teamサービス」を発表、同日提供を開始した。価格は1000万円からとなっている。
SecureWorks Japanの「Purple Team」サービスは、ユーザー企業のシステムに実際にサイバー攻撃を仕掛ける実戦形式の訓練・評価サービスである。特徴は、サイバー攻撃に対応する企業内チームであるCSIRTの評価と教育を目的にしていることである。サイバー攻撃に対して正しく対応できるかどうかを評価する。
拡大画像表示
同社は、2015年11月から、実際にサイバー攻撃を仕掛ける既存サービス「Red Teamサービス」を提供している。こちらのサービスは、サイバー攻撃を成功させることをゴールとした訓練サービスであり、セキュリティ対策やCSIRTなどが機能しているかどうかを調べられる。
拡大画像表示
今回新たにメニュー化したPurple Teamサービスは、実際にサイバー攻撃を仕掛ける点では既存のRed Teamサービスと同じだが、目的はCSIRTの評価と教育にある。Red TeamサービスとPurple Teamサービスは補完関係にあり、価格は同等である(表1)。
既存のRed Teamサービスでは、攻撃シナリオをユーザーに対して詳細には明かさず、攻撃を成功させることを最優先に、ケースバイケースで臨機応変に攻撃を仕掛ける。攻撃期間は1~1.5カ月と長期で、ユーザーが気付かないうちにステルス(隠密)で攻撃する。
一方、今回新たにメニュー化したPurple Teamサービスでは、事前にCSIRT側と話し合って綿密に攻撃シナリオを策定し、演習計画(時間割)をベースに3~5日間の合同演習を実施する。想定している通りのインシデント対応を実際のサイバー攻撃に対して行えるかどうか、を評価する。
サービス提供の背景について同社は、実戦形式の評価と教育によって、サイバー攻撃に対する経験値が高まることを挙げている。「実戦経験のない組織は、本番には極めて弱い」(SecureWorks Japan)。
Purple Teamサービスの主な実施事項は、表2のとおりである。
フェーズ | 期間 | 内容 |
キックオフ/事前調査 | 2~3週間 | ・プロジェクトの目的、実施内容、スケジュール、関係者および体制などを確認 ・ユーザーのビジネスおよびIT環境に関する情報収集 ・想定される脅威のモデリング ・インシデント対応に関する文書整備状況、プロセスの確認 |
演習シナリオ&計画策定 評価基準のチューニング |
3~4週間 | ・対象のビジネスやシステムにおいて想定される脅威をベースに攻撃シナリオを立案 ・演習参加者および関係者との連携・調整 ・演習実施計画(ステップ、スケジュール)の策定 ・対象環境およびシナリオに応じた評価基準の最終調整 |
演習準備&リハーサル 本番実施&評価 |
1~2週間 | ・演習に必要な準備および開発 ・実際の攻撃シミュレーションに向けた事前リハーサル ・イベント検知やログの確認 ・演習本番実施およびBlueチーム(CSIRT)の評価 |
報告書作成&報告会 フォローアップ教育 |
2~3週間 | ・演習および評価結果をもとに報告書を作成 ・Blueチーム(CSIRT)の課題やLessons Learned(学んだ教訓)などの点を中心に教育を目的としたワークショップを開催 ・演習を通じて確認した発見事項、課題、推奨改善策などを報告会にて共有 |