FISC手引書に基づく金融機関向けTLPT (Threat-Led Penetration Testing: 脅威ベースペネトレーションテスト)の提供を開始

記事をシェアする:

サマリー

近年、特定の企業や組織を狙った標的型のサイバー攻撃はますます高度で熾烈になっており、攻撃者はシステムのセキュリティー脆弱性だけでなく、人の行動や管理プロセスを含めたさまざまなセキュリティー上の不備を巧妙に突いて侵入してきます。こうした背景を踏まえ、国内でも金融庁による報告書の公表やFISCによる手引書の刊行を契機に、サイバーリスクの評価に対する実践的なアプローチとして、脅威ベースのペネトレーションテスト「TLPT(Threat-Led Penetration Testing) 」（テスト対象企業ごとに脅威の分析を行い個別にカスタマイズした攻撃シナリオに基づく侵入テスト、以下TLPT）が注目されています。これに対応しIBM Securityは2019年11月、TLPTのサービス提供を開始しました。IBM Securityは、FISC刊行の手引書に即したサービス、豊富な経験と実績を持つ従来型のペネトレーションテストとの組み合わせ、国内外のセキュリティー・エキスパートの協働、ATMやIoTデバイス等特殊なハードウェアへの診断など、卓越した専門性と広範なノウハウに基づくサービス提供を通じ、金融機関のお客様のサイバーリスクへの対応を支援します。

 

TLPTが注目される背景

興味本位やいたずら目的での不正アクセスが主流であった時代とは異なり、現代のサイバー攻撃は、相応の訓練により養成されたハッカーで構成された犯罪集団による巧妙かつ執拗なものや、国家的な支援を受けた大規模なものなど、容易に太刀打ちできる性質ではなくなってきています。こうした深刻な脅威から組織を守るためには、十分な知識と経験を有する熟練した専門家によるサポートを受けることが強く推奨されます。

ペネトレーションテストは、こうした熟練した専門家のサポートを受け、ネットワークに接続されているコンピュータシステムやアプリケーションに対して、実際に既知の脆弱性を突いて侵入を試みる手法ですが、最近ではより高度な手法として、テスト対象企業ごとに脅威の分析を行い個別にカスタマイズしたシナリオに基づく実践的な侵入テスト、すなわち脅威ベースのペネトレーションテスト「TLPT (Threat-Led Penetration Testing) 」が注目されています。TLPTと従来のペネトレーションテストの比較は以下です。

従来のペネトレーションテストとTLPTの比較

	従来のペネトレーションテスト	TLPT
概要	ネットワークに接続されているコンピュータシステムやアプリケーションに対して、実際に既知の脆弱性を突いて侵入を試みるテスト	テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト
特徴	対象とするシステムに対し、技術的な評価を実施し攻撃の対象となりうる脆弱性を特定することを主目的とする 脅威インテリジェンス主導の攻撃シナリオを作成しない 自社の環境や最新の攻撃手法を考慮して決定されるものの、個別のカスタマイズは限定的	攻撃者からの攻撃を検知し、速やかに組織的対応を実施する能力を醸成することを主目的とする 脅威インテリジェンスを活用した攻撃シナリオを作成する 個別の企業のシステム環境にカスタマイズする

金融庁もサイバーセキュリティーにかかるリスク評価手法としてTLPTを推奨しており、「平成29事務年度金融行政方針」において、「大規模な金融機関については、そのサイバーセキュリティ対応能力をもう一段引き上げるため、より高度な評価手法の活用を促す。」とし、そのための具体例として、TLPTを挙げました。その後も2018年5月には、報告書「諸外国の脅威ベースのペネトレーションテストに関する報告書の公表について(TLPT)」を公表し、その基本概念、手法、プロセス、諸外国における実施状況等について調査・報告しています。また、FISCは2019年9月、「金融機関等におけるTLPT実施にあたっての手引書」を刊行し、TLPT実施において参考となるフレームワークを示しました。こうした金融庁やFISCによる一連の報告は、TLPTの意義や方法論について解説したうえで、日本の金融機関にTLPTの実施を強く促しています。

 

TLPTの意義とその本質

Threat-Led Penetration Testingの名が示しているように、脅威のアクター（発生元）や脆弱性情報等、脅威インテリジェンスの活用はTLPTの大きな特徴であるといえますが、一方で脅威インテリジェンスの活用そのものを目的化することは避けるべきでしょう。

TLPTの本質は、脅威インテリジェンスの活用そのものではなく、計画立案フェーズにて自組織に影響する脅威をより精緻かつ網羅的に導出することで、現実のリスクに即した攻撃シナリオを作成する点にあります。

したがって、攻撃シナリオの作成においては、業界特有のサイバー脅威や自組織のシステムへの適合性等を総合的に勘案し、現実のリスクをしっかりと見極める必要があります。

攻撃シナリオの作成において、こうしたリスク・ベースのアプローチを採ることは、結果的にペネトレーションテストのフェーズで実際に攻撃を行う診断チームに対して、より高度な専門性と広範なノウハウを要求することに繋がります。なぜなら、たとえ脅威の分析によって自組織に妥当する攻撃シナリオを導出したとしても、診断チームのスキルやノウハウが限定的であった場合、導出された攻撃シナリオを十分にカバーすることができない事態が想定され、攻撃シナリオとペネトレーションテストを一貫させた形で行うことは非常に難しくなってしまうからです。その意味でも、TLPTの実施に際しては、高度な専門的能力と広範なノウハウを持つ、信頼できるセキュリティー事業者の選定が不可欠です。

 

IBM Securityの提供するサービスとその特徴

高度な専門性

IBM Securityは、上記FISCの手引書に即した形でTLPTを実行する十分な能力と体制を有しています。IBM Securityは、エシカル・ハッカー集団“X-Force RED”に代表されるペネトレーションテスト専門組織を擁していることに加え、世界中で発生するセキュリティー・インシデントの対応から原因究明を総合的に支援する調査員で構成される“IBM Security X-Force”、マルウェア解析やダークウェブ分析、アンダーグラウンド市場やOSINT（オープンソース・セキュリティーインテリジェンス）収集などを行うサイバー脅威インテリジェンスの研究機関である“X-Force R&D”を設置しており、さらに日本を含めた全世界10拠点に展開するSOC（セキュリティー監視センター）でモニタリングする1日700億件を超えるセキュリティー・イベントから得られる脅威情報を知見として有し、こうした脅威インテリジェンスを活用した統合的なペネトレーションテストサービスの提供が可能*です。また、IBM Securityは、脅威インテリジェンスを使わない従来式のペネトレーションテストにおいても、一般的なコンピュータはもちろんのこと、ATMやIoTデバイスなど特殊なハードウェアを対象としたペネトレーションテストに豊富な実績を有しており、高度で網羅的なテストが可能です。

(*IBM Securityは自社の脅威インテリジェンス”X-Force Threat Intelligence” を提供していますが、TLPTにおいて、サードパーティの脅威インテリジェンス・ソースを活用したプランも対応可能です。)

 

グローバルにおける先行事例

TLPTの実施に際しては、海外の先行事例が参考になります。先述の金融庁の報告書、「諸外国の脅威ベースのペネトレーションテスト(TLPT) に関する報告書の公表について」においても、英国の金融当局が推進するフレームワークCBESTに基づくTLPTを参照しています。グローバルなセキュリティー事業者として世界中でサービスを提供するIBM Securityは、こうした先行する諸外国のガイドラインに関する知見とそれに即した実践経験を保持しているため、海外のセキュリティー・エキスパートと協働して信頼性の高いサービスを提供することが可能です。

 

まとめ

テクノロジーの進化に伴い複雑で多様化するビジネスの基盤となるIT環境および、それを取り巻くサイバー空間におけるリスクは深刻化しています。こうした環境下、組織の経営者は深刻化するサイバーリスクに対し限られた経営資源を効率的かつ効果的に分配することが求められ、TLPTの概念はまさにその要請に応えるものであると言えるでしょう。IBM Securityは世界中に配置されたセキュリティー・エキスパートとともに、卓越した専門性をもってTLPTのサービスをご提供します。

 

【IBM Securityミッション】

“We exist to protect the world, freeing you to thrive in the face of Cyber uncertainty”

“不確実なサイバー空間からお客様を保護し、ビジネスの健全な発展を支援するために”

 

【関連情報】

• IBM X-Force REDの概要はこちら
• IBM Security X-Forceの概要はこちら

【お問い合わせ】

事業戦略部長／エグゼクティブ・コンサルタント 菅原 文昭 まで、メールにてお問い合わせください。

【著者情報】