公開日:2023年12月18日
寄稿者:Teaganne Finn、Amanda Downie
ブルー・チームとは、レッド・チームも含めたサイバー攻撃者に備えるために存在するITセキュリティー・チームであり、組織を脅かし、そのセキュリティー体制を強化します。
ブルー・チームの任務は、ビジネス目標を深く理解し、組織のセキュリティー対策の改善に継続的に取り組むことで、組織の資産を常に保護することです。
ブルー・チームには、次のような目標があります。
1. デジタル・フットプリント分析とリスク・インテリジェンス分析を通じて、脆弱性と潜在的なセキュリティー・インシデントを特定し、軽減する。
2. DNS(ドメイン・ネーム・サーバー)、インシデント対応、復旧などの定期的なセキュリティー監査を実施する。
3. 潜在的なサイバー脅威について全従業員を教育する。
IBM Security Randoriの潜在的なコスト削減とビジネス上のメリットを見積もります。
IBMニュースレターの購読
ブルー・チームがどう機能するかを説明するには、サッカー・チームにたとえるのが最もわかりやすいでしょう。ブルー・チームは組織のサイバーセキュリティーの専門家で構成され、フィッシング攻撃や不審な活動など、あらゆる潜在的な脅威に対する組織の防衛ラインです。ブルー・チームの作業、つまり防御ラインの最初のステップのひとつは、組織のセキュリティー・ストラテジーを理解し、現実世界の攻撃に対する防御計画をまとめるうえで必要なデータを収集することです。
防衛計画に先立って、ブルー・チームは、どの区域を守る必要があるかについてあらゆる情報を収集し、リスク・アセスメントを実施します。このテスト期間中、ブルー・チームはクリティカルな資産を特定し、DNS監査とネットワーク・トラフィック・サンプルのキャプチャとともに、それぞれの重要性を記録します。そうした資産が特定されたら、リスク・アセスメントを行い、各資産に対する脅威や、目に見える弱点、構成上の問題がありそうな場所を特定することができます。サッカー・チームで言うなら、過去のプレーについて、何がうまくいったのか、何がうまくいかなかったのかについてコーチと選手が話し合うのと似ています。
アセスメントが完了したら、ブルー・チームは安全対策を講じます。例えば、安全手順について従業員の教育を進めたり、パスワード・ルールを強化したりします。サッカーなら、新しいプレーを考案して、その効果を試すことに当たります。防御計画が確立された後のブルー・チームの役割は、侵入の兆候を検知し、アラートを調査して、異常なアクティビティーに対応できる監視ツールを導入することです。
ブルー・チームは、各種の対策と脅威インテリジェンスを使用してネットワークをサイバー攻撃から保護し、全体的なセキュリティー体制を強化する方法を理解し始めます。
ブルー・チームのメンバーは潜在的な脆弱性を常に探し、新たな脅威に対して既存のセキュリティー対策をテストする必要があります。以下は、ブルー・チームのメンバーが維持すべきスキルとツールの一部です。
ブルー・チームのメンバーは、ファイアウォール、フィッシング、安全なネットワーク・アーキテクチャー、脆弱性評価、脅威モデリングなど、サイバーセキュリティーの概念の一部を基本的に理解している必要があります。
ブルー・チームのメンバーは、Linux、Windows、macOSなどのオペレーティング・システムを深く理解している必要があります。
万一インシデントが起こった場合に向けて備えることが重要です。ブルー・チームのメンバーは、インシデント対応計画を作成して実行するスキルを持っている必要があります。
ファイアウォール、侵入検知システム/防止システム(IDS/IPS)、ウイルス対策ソフトウェア、SIEMシステムなどのセキュリティー・ツールの使用に習熟している必要があります。SIEMシステムは、リアルタイムのデータ検索を実行してネットワーク・アクティビティーを取り込みます。また、エンドポイント・セキュリティー・ソフトウェアをインストールして構成できるようになります。
ブルー・チームは概要レベルの脅威に焦点を当てるように構築されており、検知と対応の技術に関してはきわめて綿密でなければなりません。
強力なブルー・チームを設立し、組織の防御を監査したら、次はそれを実行に移します。ここで、レッド・チームつまり攻撃側のセキュリティー・チームがネットワーク・セキュリティーをテストします。レッド・チーム演習は、組織のシステム・セキュリティーを評価することを目的とする独立した倫理的ハッカーであるセキュリティー専門家のグループと定義できます。
レッド・チームは、セキュリティー・リスクを評価する方法として、組織内のシステムに対して実際の攻撃者の戦術、技術、手順(TTP)をシミュレートします。ペネトレーション・テストを実施することで、組織は、組織の人員とプロセスが組織の資産に対する攻撃にどのくらい適切に対処できるか、理解を深めることができます。レッド・チームのメンバーは、シミュレーション攻撃中にマルウェアをデプロイしてブルー・チームのセキュリティー防御をテストする場合もあれば、ブルー・チームのメンバーを誘導して情報を共有させる方法としてソーシャル・エンジニアリングを利用する場合もあります。
レッド・チームの主な目標は、気づかれないようにしてテスターにブルー・チームの防御を回避させることです。レッド・チームとブルー・チームは共生関係にあります。同じ目的に向かって取り組んでいますが、正反対のアプローチをとっているからです。双方が協力している場合は、たいていパープル・チームと呼ばれます。セキュリティーを向上させる新しいテクノロジーの登場したとき、ブルー・チームの仕事は常に最新情報を入手し、新しい情報があればレッド・チームと共有することです。
双方のチームがレッド/ブルー・チーム演習とテストを完了したら、次のステップでは結果を報告します。協力して計画を立て、組織を保護するうえで必要なセキュリティー・コントロールを実装します。
ブルー・チームのテストは、組織の脅威検知に計り知れない価値をもたらします。優れた対応機能を備えたセキュリティー・システムを構築し実行するうえで必要なスキル・セットを備えたブルー・チームを構築することが重要です。
攻撃者がIBM Security Randori Reconを使用する前に、外部の攻撃対象領域のリスクと予期せぬ盲点を明らかにします。
組織に対する攻撃をシミュレートして、リスク検知とインシデント対応をテスト、測定、改善します。
IBM X-Force Redを使用して、組織のどこに脆弱性があるかを見極めます。ここでは、攻撃者に先んじてとりわけ貴重なデータを保護するためのツールとテクニックを使用します。
IBMがForrester ConsultingにTotal Economy Impact™(TEI)調査の実施を依頼した経緯を読み、企業がRandoriをデプロイして実現できる潜在的な投資収益率(ROI)を調査します。
IBM Security X-Force Threat Intelligence Index 2023は、脅威アクターがどのように攻撃を仕掛けているか、そして攻撃が仕掛けられる前に事前対応で組織を保護する方法を理解するのに役立つ実用的なインサイトをCISOやセキュリティー・チーム、そしてビジネス・リーダーに提供します。
攻撃者と同じ視点で攻撃対象領域をとらえます。IBM Security Randori Reconは、攻撃者の観点から継続的に資産を検出し、問題を優先順位付けします。
2023年「データ侵害のコストに関する調査」の包括的な調査結果をご覧ください。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
サイバー攻撃から組織を保護するX-Forceの機能を詳しくご覧ください。
サイバー・インシデントに備えてチームをトレーニングし、組織がビジネス全体の危機対応に備えるためにサイバー・レンジが提供できる他のサービスを確認してください。