情報セキュリティにおけるレッド・ブルー・パープルチームについて
転職により新しい会社に勤め始めて、2週間ほど経ちました。
まだまだ慣れていない上に、アサインされたかなり大きなプロジェクトは前任者が私と入れ違いで退職したことで引き継ぎが全く無く手探りでやっています。
環境に慣れるのに疲弊してブログ更新が全然できていない状況です。。
そして話は全然変わりますが。
今所属している部署の広報の方との会話で、うちの組織もレッドチーム作ってみたいという意見がありました。
レッドチームというと、ユーザー企業だとリクルートが有名で先日も記事が挙がっていました。
リクルートでは内製での脆弱性診断に加えて、レッドチームを組織してペネテトレーションテストも可能な環境を整備したとのこと。
こんなの普通のユーザー企業のリソースじゃできないでしょ。
とか思いながら、部署の人と会話をする中で、『ブルーチーム、パープルチームって何??』って人もいたので参考程度に書いておこうと思います。
レッドチーム(Red Team)とは
元々は軍隊用語で敵の役割を果たす軍人のチームを示し、「目標」の安全を確認する任務を担う役割を意味します。
そのため、情報セキュリティ業界におけるレッドチームは、セキュリティの有効性をテストするために組織された外部や内部のチームのことです。
レッドチームは、脆弱性診断やソーシャルエンジニアリングを使って、物理的およびデジタル的なペネトレーションテストを行います。
例として、サービスを請け負ったレッドチームメンバーはクライアント会社の社員証を偽造し、社内に潜入し、社内の通信を盗聴、次いで社員のアカウント情報を盗み出し、最終的に重要サーバに侵入し、個人情報へのアクセスや持ち出しまで行ったりします。
アメリカでは一般化しており、様々な政府機関や有名企業が利用していて、セキュリティ設計や運用改善に役立っています。
FireEyeやPwC、SecureWorks等の各種企業でもサービス名や内容の違いはありますが、『レッドチーム演習』という疑似的な攻撃サービスが日本国内でも立ち上げられている状況です。
ブルーチーム(Red Team)とは
ブルーチームは、実際の攻撃者やレッドチームの両方から組織を守る、内部のセキュリティチームを指します。
レッドチームによって明らかになる脆弱性を認識し、常にセキュリティの強化・改善を行うチームです。
具体的な例では、ログ分析や脅威情報の収集、インシデント対応時のデジタルフォレンジック、マルウェア解析等が該当します。
パープルチーム(Purple Team)とは
組織のセキュリティ環境の改善には、レッドチームとブルーチームの継続的なナレッジの共有が必要となります。
パープルチームは、レッドチームとブルーチームの有効性を引き出すために、2つのグループ間のナレッジの共有を促進するために利用されます。
また、レッドチームとブルーチームを改善するため、両チームのパフォーマンスをフィードバックするマネージメントの機能を持ちます。
まとめ
- レッドチームは組織のセキュリティの問題を発見するために、攻撃者を模倣したチームのこと。
- ブルーチームは攻撃者から組織を守り、常にセキュリティを改善するチームのこと。
- パープルチームはレッド・ブルーチームの間を取り持ち、組織のセキュリティの改善を図るチームのこと。
正直、上で書いたパープルチームの役割は特に曖昧な意味になっていると思われた方もいるかと思います。
自分でも理解できていない部分がありますが、もし特定の組織でレッドチームとブルーチームを持った場合、レッドチーム自身の目標とブルーチーム自身の目標が相反する可能性があるかと思います。
そのような際に、中間に立ちレッド・ブルーを含めた組織のセキュリティ能力を評価して、改善するためのマネージメントを行うのがパープルチームの役割と理解をしています。
もう少し今の新しい環境に慣れてセキュリティ状況を把握したら、レッドチーム演習のサービスをユーザー側として利用してみたいと思っています。
しかしこのサービス、レッドチームのサービス実施側のメンバーは絶対に楽しんでやっているなと。
こういったサービスはセキュリティ改善に非常に効果的だと思いますが、日本ではなかなか行われないのは欧米とのセキュリティに対する意識の違いが出ているなと感じます。
