レッドチーム演習 れっどちーむえんしゅう
簡単に言うとこんな感じ!
社内のセキュリティを本番さながらに試すために、「プロの攻撃者チーム」を雇って本気で侵入を試みてもらう訓練だよ!映画の「泥棒に家の鍵を試させる」みたいな感じで、実際に攻撃されてみることで本当の弱点を見つけるんだ!
レッドチーム演習とは
レッドチーム演習(Red Team Exercise)とは、組織のセキュリティ対策が実際の攻撃者に対してどこまで有効かを検証するために、専門家チームが本物の攻撃者と同じ手法・視点で組織のシステムや人・建物への侵入を試みる模擬演習のことです。単に「ツールで脆弱性をスキャンする」だけでなく、ソーシャルエンジニアリング(人を騙す手口)や物理的な侵入まで含む包括的なアプローチが特徴です。
「レッド」は軍事演習の用語に由来し、敵役(攻撃側)をレッドチーム、守備側をブルーチームと呼ぶ慣習から来ています。通常のセキュリティ診断やペネトレーションテストと異なり、「特定のシステムを調べる」という限定的な範囲ではなく、組織全体を標的とした長期間・多角的な攻撃シミュレーションを行う点が大きな違いです。
情報システム部門だけでなく、経営層や発注担当者にとっても「実際に攻撃されたらどこが崩れるか」を可視化できる強力な手段です。セキュリティ投資の優先順位や対策の実効性を判断する根拠として、近年多くの企業が導入を検討しています。
レッドチーム演習の構造と仕組み
レッドチーム演習は、複数の「攻撃チーム」と「防御チーム」が役割を持って構成されます。
| チーム名 | 役割 | 主な活動 |
|---|---|---|
| レッドチーム | 攻撃側(擬似攻撃者) | 侵入・データ窃取・権限昇格などの攻撃を実施 |
| ブルーチーム | 防御側(セキュリティ運用) | 攻撃の検知・対応・封じ込めを行う |
| パープルチーム | 協調チーム | レッドとブルーが連携し、互いの知見を共有・改善 |
| ホワイトチーム | 管理・審判 | 演習のルール管理・スコープ定義・調停役 |
演習の主なフェーズ
レッドチーム演習は以下のステップで進みます。
1. スコープ定義 ← どこまで攻撃してよいか合意する
↓
2. 偵察(OSINT) ← 公開情報から組織の情報を収集
↓
3. 初期侵入 ← フィッシング・脆弱性利用・物理侵入など
↓
4. 内部展開 ← ネットワーク内を横移動し権限を拡大
↓
5. 目標達成 ← 機密データ取得・システム操作など
↓
6. 報告・改善提案 ← 発見した弱点と対策をまとめて報告覚え方:「赤と青でサンドイッチ」
「赤(レッド)が攻めて、青(ブルー)が守る、その間を紫(パープル)がつなぐ」とイメージすると覚えやすいです。信号の赤=止まれ(侵入されたら危険)、青=進め(守備が機能している)と結びつけるのも◎。
ペネトレーションテストとの違い
| 比較項目 | ペネトレーションテスト | レッドチーム演習 |
|---|---|---|
| 目的 | 特定の脆弱性を発見 | 組織全体の防御力を評価 |
| 対象範囲 | システム・アプリなど限定 | 技術・人・物理すべて |
| 期間 | 数日〜数週間 | 数週間〜数ヶ月 |
| 防御チームへの通知 | 通知あり(ホワイトボックス)が多い | 通知なし(ブラックボックス)が多い |
| 攻撃手法 | 技術的な脆弱性診断中心 | フィッシング・物理侵入等も含む |
歴史と背景
- 1960年代:米軍が「レッドチーム」という概念を戦略立案・演習に導入。敵側の視点で自軍の計画を批判的に検証するために使われた。
- 1990年代:インターネット普及に伴い、民間のセキュリティ分野にレッドチームの概念が持ち込まれ始める。
- 2000年代:金融機関・政府機関を中心にサイバー攻撃が増加し、従来の脆弱性スキャンでは不十分との認識が広まる。
- 2010年代:APT(持続的標的型攻撃)が急増し、長期間潜伏する攻撃者を想定したレッドチーム演習の重要性が高まる。CBEST(英国)やTIBER-EU(欧州)など、金融業界向けのレッドチーム標準フレームワークが登場。
- 2018年:TIBER-EU(Threat Intelligence-Based Ethical Red Teaming)がECBによって公開。金融機関向けのレッドチーム演習標準として欧州各国に普及。
- 2020年代:ランサムウェア攻撃の急増を背景に、あらゆる業種でレッドチーム演習の需要が拡大。AIを活用した攻撃シミュレーションも登場しつつある。
主な攻撃手法と評価フレームワーク
レッドチームが使う攻撃手法はMITRE ATT&CKというフレームワークで体系化されています。
パープルチームとは
レッドとブルーが同じ場でリアルタイムに連携しながら攻撃と防御を繰り返す手法を「パープルチーム演習」と呼びます。レッドチームが「今この手法で攻撃した」とブルーチームに伝え、ブルーチームが「どう検知できるか」を即座に試す——このサイクルで防御力を効率的に高められます。
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-115 | セキュリティテスト・評価の技術ガイド。ペネトレーションテスト・レッドチームの方法論を規定 |
| TIBER-EU Framework | ECB(欧州中央銀行)発行の金融機関向けレッドチーム演習標準フレームワーク |
関連用語
- ペネトレーションテスト — システムへの侵入可能性を実際に試して脆弱性を発見するテスト手法
- 脆弱性診断 — システムやアプリの弱点を網羅的にスキャン・評価する診断
- ソーシャルエンジニアリング — 技術ではなく人間の心理を突いて情報を騙し取る攻撃手法
- MITRE ATT&CK — 実際の攻撃者の戦術・技術をデータベース化したサイバー攻撃のカタログ
- SIEM — ログを一元収集・分析してセキュリティ脅威をリアルタイム検知するシステム
- EDR — 端末上の不審な挙動を検知・対応するエンドポイントセキュリティソリューション
- ゼロトラスト — 「内部だから安全」を前提にしない、常に検証するセキュリティモデル
- インシデントレスポンス — セキュリティ事故が発生した際の対応手順・体制のこと