// シス担のミカタ
セキュリティテスト

ブルーチーム ぶるーちーむ

レッドチームSOCインシデントレスポンス脅威検知セキュリティ監視パープルチーム
ブルーチームについて教えて

簡単に言うとこんな感じ!

ブルーチームは、会社のシステムを守る「防衛側」のセキュリティチームだよ!攻撃者に扮するレッドチームが攻めてくるのを検知・防御・対応するのが役割で、城を守る衛兵みたいなイメージだね!

ブルーチームとは

ブルーチームとは、組織のITシステムやネットワークをサイバー攻撃から守ることを専門とする「防御側」のセキュリティチームのことです。軍事演習における「青軍(防衛側)」と「赤軍(攻撃側)」の概念をセキュリティ分野に取り入れた呼び方で、攻撃者役を担うレッドチームと対になる存在として定義されています。

ブルーチームの主な仕事は、不審な通信やアクセスをリアルタイムで監視・検知し、インシデント(セキュリティ上の問題事象)が発生した場合に迅速に対応することです。日々の防御活動として、ファイアウォールや侵入検知システムの設定・管理、ログの分析、脆弱性への対処なども担います。

ビジネスの観点では、ブルーチームは「攻撃を受けたときに被害を最小化するための体制」を指します。社内の情報システム部門や外部委託のSOC(Security Operations Center:セキュリティ監視センター)がブルーチームの役割を担うケースが多く、システム発注・運用の際に「誰がブルーチームを担うか」を明確にしておくことが重要です。

ブルーチームの役割と活動内容

ブルーチームが日常的に行う活動は大きく「予防」「検知」「対応」「復旧」の4フェーズに分かれます。

フェーズ活動内容具体例
予防攻撃される前に守りを固めるファイアウォール設定、パッチ適用、アクセス制御
検知攻撃・異常をいち早く見つけるSIEMによるログ分析、侵入検知システム(IDS)の監視
対応インシデント発生時に封じ込め感染端末の隔離、アカウントの無効化、証拠保全
復旧正常状態に戻して再発を防ぐシステム復元、原因分析、セキュリティポリシーの改善

覚え方:「よ・け・た・ふ」

防・知・応・旧」=「よけたふ(避けた不)」と覚えると4フェーズを思い出しやすいです。攻撃を「よけて」「不」正アクセスから守るイメージですね。

ブルーチームが使う主なツール

ツール種別正式名称役割
SIEMSecurity Information and Event Managementログを一元収集・分析して異常を検知
IDS/IPS侵入検知/防御システム不審な通信をリアルタイムで検出・遮断
EDREndpoint Detection and ResponsePC・サーバ上の怪しい動きを監視・対処
Threat Intelligence脅威インテリジェンス最新の攻撃手法情報を収集・活用
SOARSecurity Orchestration, Automation and Response対応作業を自動化・効率化

歴史と背景

  • 1990年代:インターネットの普及に伴いサイバー攻撃が増加。米国防総省(DoD)が軍事演習の「レッドチーム vs ブルーチーム」概念をサイバーセキュリティに応用し始める
  • 2000年代:企業へのサイバー攻撃が本格化。SOC(セキュリティ監視センター)が金融機関・通信会社を中心に設置され始め、ブルーチーム体制が民間に広がる
  • 2010年代:APT(Advanced Persistent Threat:持続的標的型攻撃)の増加により、受動的な防御だけでは不十分と認識され、能動的に脅威を探す「脅威ハンティング(Threat Hunting)」がブルーチームの重要業務に加わる
  • 2015年頃〜:レッドチームとブルーチームが連携して防御力を高める「パープルチーム」という概念が登場。攻撃と防御を組み合わせた演習が主流になる
  • 2020年代:クラウド環境・リモートワークの普及で監視対象が拡大。AIを活用した自動検知・対応(SOAR)がブルーチームの標準装備になりつつある

レッドチーム・パープルチームとの関係

ブルーチームは単独で語られることも多いですが、セキュリティ演習の文脈ではレッドチームパープルチームと合わせて理解するのが重要です。

🔴 レッドチーム 攻撃側 侵入テスト フィッシング模擬 脆弱性攻撃 エクスプロイト 🔵 ブルーチーム 防御側 ログ監視・分析 インシデント対応 脅威ハンティング セキュリティ強化 🟣 パープルチーム 攻防連携・情報共有 攻撃結果を防御に反映 共同演習・改善サイクル レッドが攻撃 → ブルーが防御 → パープルが両者を連携させて防御力を向上 パープルチームはレッド・ブルー双方の知見を組み合わせた統合チーム
チーム役割主な活動
レッドチーム攻撃側(擬似的な敵)侵入テスト、フィッシング模擬、脆弱性攻撃
ブルーチーム防御側(守備隊)監視・検知・対応・復旧
パープルチーム連携・改善役攻撃結果を防御施策に反映、共同演習

実務では、レッドチームが擬似攻撃を行い、ブルーチームがそれを検知・対応できるかを評価するレッド vs ブルー演習を定期的に実施することで、防御力を継続的に向上させます。パープルチームはその橋渡し役として、「攻撃が成功した原因」をブルーチームの改善につなげる役割を担います。

関連する規格・RFC

規格・RFC番号内容
NIST SP 800-61コンピュータセキュリティインシデント対応ガイド(ブルーチームの対応手順の基礎)
NIST SP 800-137連邦情報システムの継続的監視(ブルーチームの監視活動の指針)

関連用語

  • レッドチーム — 擬似的な攻撃者として防御側の弱点を見つける攻撃側チーム
  • パープルチーム — レッドチームとブルーチームを連携させて防御力を高める統合チーム
  • SOC — Security Operations Center:セキュリティ監視を専門に行う組織・センター
  • SIEM — ログを一元管理・分析して脅威を検知するセキュリティ管理システム
  • インシデントレスポンス — セキュリティ事故発生時の対応手順・プロセス
  • 脅威ハンティング — 潜在的な脅威を能動的に探し出すブルーチームの高度な活動
  • ペネトレーションテスト — 実際の攻撃手法でシステムの弱点を検証するテスト手法
  • EDR — エンドポイントの脅威をリアルタイムで検知・対応するセキュリティツール