パープルチーム演習 ぱーぷるちーむえんしゅう
パープルチーム演習とは
パープルチーム演習とは、攻撃者役のレッドチームと防御者役のブルーチームが協力・連携しながら行うセキュリティ評価・改善活動のことです。赤(レッド)と青(ブルー)を混ぜると紫(パープル)になることから、この名前がついています。
従来のセキュリティテストでは、レッドチームが侵入テストを実施し、結果を報告書にまとめてブルーチームに渡すという「一方通行」のアプローチが一般的でした。しかしこの方法では、攻撃の意図や手口の詳細がブルーチームに十分伝わらず、改善に時間がかかるという課題がありました。パープルチーム演習は、この壁を取り除き、攻撃と防御がリアルタイムで対話しながら学び合う仕組みです。
実務上は、「攻撃を実行する→検知できたか確認する→できなければ検知ルールを追加する→再度攻撃して確認する」というサイクルを繰り返します。これにより、テスト終了時点で組織の防御力が実際に向上しているという即効性の高い成果が得られます。
3チームの役割と協力関係
| チーム | 色 | 主な役割 | 担当者の例 |
|---|---|---|---|
| レッドチーム | 🔴 赤 | 攻撃者を模倣した侵入テスト・脆弱性探索 | ペネトレーションテスター・外部セキュリティ会社 |
| ブルーチーム | 🔵 青 | 防御・監視・インシデント検知・対応 | SOCアナリスト・社内セキュリティ担当 |
| パープルチーム | 🟣 紫 | 両チームの橋渡し・知識共有・改善サイクル管理 | セキュリティマネージャー・CISO |
覚え方:「赤+青=紫」で協力関係
「赤と青がケンカせずに混ざったら紫になる」と覚えておきましょう。パープルチーム演習の本質は対立ではなく協力です。レッドチームが「ここから侵入できたよ」と教え、ブルーチームが「じゃあそこの検知ルールを今すぐ追加します」とその場で対応する、まさに合同練習です。
演習の進め方(基本サイクル)
① 攻撃シナリオの合意
└─ どの攻撃手法(TTPs)を使うか事前に共有
② レッドチームが攻撃を実行
└─ 実際の攻撃者が使うツール・手口を模倣
③ ブルーチームが検知・対応を試みる
└─ SIEM・EDRなどのツールで検知できるか確認
④ リアルタイムでフィードバック共有
└─ 検知できた・できなかった理由を即時議論
⑤ 検知ルール・対応手順の改善
└─ できなかった部分をその場で修正・強化
⑥ 再テストで改善効果を確認
└─ ①に戻り繰り返す歴史と背景
- 2000年代初頭:レッドチーム演習が金融・軍事分野で本格化。攻撃者視点での評価が重要視されるようになる
- 2010年代前半:APT(高度持続的脅威)攻撃の増加により、一度きりのペネトレーションテストでは不十分との認識が広まる
- 2014年頃:「パープルチーム」という概念がセキュリティコミュニティで登場。レッドとブルーの連携モデルとして提唱される
- 2018年:MITRE ATT&CKフレームワーク(攻撃者の戦術・技術を体系化したデータベース)が広く普及し、パープルチーム演習の共通言語として定着
- 2020年以降:ランサムウェア攻撃の急増を背景に、多くの企業がパープルチーム演習を年次セキュリティ計画に組み込むようになる
- 現在:TIBER-EU(欧州中央銀行主導の金融機関向け脅威インテリジェンスベーステスト)など、規制当局がパープルチーム的アプローチを要求するケースも増加
従来のセキュリティテストとの比較
MITRE ATT&CKフレームワークとの連携
パープルチーム演習では、MITRE ATT&CK(マイター・アタック)と呼ばれる攻撃者の戦術・技術を体系化したデータベースを「共通言語」として使います。たとえば「T1059.001(PowerShellの悪用)を試す」と決めたら、レッドチームが実際にそのテクニックを使い、ブルーチームが検知できるか検証する、という形で演習を進めます。
| ATT&CKの要素 | 意味 | 演習での使い方 |
|---|---|---|
| 戦術(Tactics) | 攻撃者の目的(例:初期アクセス、権限昇格) | 演習のシナリオ設計に使う |
| 技術(Techniques) | 目的を達成する具体的な手口(例:フィッシング) | レッドチームが実行する攻撃手法 |
| 手順(Procedures) | 実際のマルウェア・ツールの使い方 | 現実の攻撃者を模倣する際の参考 |
発注者・経営層が知っておくべきポイント
どんな組織に向いているか
| 状況 | パープルチーム演習の必要性 |
|---|---|
| ペネトレーションテストを毎年やっているが改善が進まない | ✅ 高い(対話で即改善) |
| SOC(セキュリティ運用センター)や社内防御チームがある | ✅ 高い(ブルーチームが学べる) |
| セキュリティ担当が1〜2名しかいない小規模組織 | ⚠️ まずペネトレーションテストから |
| 重要インフラ・金融・医療など規制が厳しい業界 | ✅ 非常に高い(規制要件になりつつある) |
コストと期間の目安
- 期間:1回の演習で2〜5日間(シナリオ数・規模による)
- 費用:外部委託の場合、数百万円〜(組織規模・シナリオ数による)
- 頻度:年1〜2回が一般的。重要なシステム変更後に追加実施するケースも
💡 発注時のポイント:「演習後に検知ルールの追加・改善まで含めるか」を必ず確認しましょう。報告書を渡して終わりのベンダーと、その場でSIEM設定まで一緒に直してくれるベンダーでは、得られる成果が大きく異なります。
関連用語
- レッドチーム演習 — 攻撃者を模倣して組織への侵入を試みるセキュリティテスト手法
- ペネトレーションテスト — システムへの侵入可否を確認するセキュリティ評価手法
- MITRE ATT&CK — 攻撃者の戦術・技術・手順を体系化したナレッジベース
- SOC(セキュリティオペレーションセンター) — セキュリティ監視・インシデント対応を担う組織・拠点
- SIEM — ログを収集・分析してセキュリティ脅威を検知するシステム
- 脅威インテリジェンス — 攻撃者の手口・動向に関する情報を収集・分析する活動
- インシデントレスポンス — セキュリティ事故が発生した際の対応手順・プロセス
- EDR — エンドポイント(PCやサーバー)上の脅威を検知・対応するセキュリティツール