2017年4月にリクルートテクノロジーズ社が業界でも先駆け的に「リクルートレッドチーム」という社内組織を結成したことが話題となりましたが、昨今海外を中心に、レッドチーム演習という言葉が少しづつ浸透してきています。一体それはなんなのでしょうか?少しわかりにくい言葉のような気もします。国内では、金融を中心とした大手企業にしか、まだまだ知れ渡った言葉とはいえないでしょう。

それもそのはず、これは元々軍事用語からきているそうです。軍隊の攻撃や防御を演習する際、攻撃を仕掛ける側を「レッドチーム」、防御する側を「ブルーチーム」と呼んでいたのですが、 それが由来とされています。セキュリティ分野は軍事用語が好きですね。

セキュリティの分野で言うところのレッドチームはこの考え方を当てはめたものです。一般的にセキュリティ対策は、「システムをどうやって守るか」という視点で考えていきますが、それとは逆に「攻撃者だったらどうやって攻撃するか」という視点で社内で利用しているシステムの脆弱性などを探索するのがレッドチームの役割です。

余談になりますが、冒頭で示したリクルートテクノロジー社の例では、もともと脆弱性検査の内製化を目指していたそうです。内製化することで「ホワイトボックステスト」の実現が可能になります。これは内部組織であればソースコードを閲覧することが可能になるためです。しかし、これを実現するためには非常に高度なセキュリティスキルを持った人材を揃えることが必要となります。

同社ではこの人材を集めることに成功しましたが、その人材群のさらなる活用の場を求めて議論をした結果がレッドチームの立ち上げだったそうです。

ここで混同しやすいのが、ペネトレーションテストとの違いでしょう。ペネトレーションテストは、外部から攻撃を仕掛けてシステムに侵入し、コンピュータやネットワークの脆弱性を検証するテストのことをいいますが、レッドチームの目的は脆弱性の発見だけではないのでありません。

もちろん、システムに脆弱性があればそれを利用します。しかし、ソーシャルエンジニアリング的な手法も最大限に活用するのがポイントです。ペネトレーションテストがシステムに限定したテストだとすれば、レッドチームテストは限りなく実戦に近いサイバー攻撃の総合演習だということができるでしょう。レッドチームテストが話題に上るようになったのは、標的型攻撃の増加や高度化が背景にあります。標的柄攻撃を行う攻撃者の視点に立ち、標的型攻撃の手法を利用して対策効果を検証する必要がでてきたのです。