手段を選ばないレッドチームによるサイバーレジリエンスの実践的評価

「出会いからイノベーションを生み出す」をミッションに掲げ、名刺管理や契約書管理サービスなど働き方を変えるDXサービスを提供しているSansan株式会社。今回、組織全体に対するセキュリティリスクの可視化、ブルーチームの評価及びトレーニングを主な目的として、レッドチーム演習をご依頼いただきました。毎年実施しているペネトレーションテストとの違いを踏まえて、実施の背景や効果について技術本部 情報セキュリティ部 CSIRTグループ兼 情報セキュリティマネジメントグループ 黒澤 綾香様にお話を伺いました。

セキュリティに対する取り組みと
今回の実施の背景についてお教えください

Sansan株式会社は「出会いからイノベーションを生み出す」をミッションとして掲げ、働き方を変えるDXサービスを提供しています。主なサービスとして、営業DXサービス「Sansan」やキャリアプロフィール「Eight」、インボイス管理サービス「Bill One」、クラウド契約業務サービス「Contract One」を国内外で提供しています。

お客様の大切な個人情報や、情報資産を安全にお預かりするため、「セキュリティと利便性を両立させる」をブランドプロミスとして掲げ、創業以来セキュリティについて全社で取り組んでまいりました。2016年よりペネトレーションテストを毎年実施するなど、セキュリティの改善を続けています。

最近ではコロナ禍でのリモートワークの増加、事業成長に伴う社員の急激な増加、事業部制からマルチプロダクト体制への大規模な組織改編など、事業を取り巻く環境の様々な変化に対応するため、従来のセキュリティ対策の延長線ではないゼロトラストを前提とした防衛へと、セキュリティ方針の転換を進めています。

これまで続けてきたプロダクトを中心としたセキュリティの改善に加え、組織全体を対象としたときのセキュリティリスクの可視化やブルーチーム運用の改善を進めたく、大規模なテスト（レッドチーム演習）の実施をすることになりました。

過去のテストとの違いとして
期待していたことを教えてください

ブルーチームの防衛体制を改めて確認するために、実際の攻撃者と同じ条件からスタートして、初期侵入から権限昇格、内部NWでの横展開や機密情報の奪取を一連の流れとして実施するという点が期待の一つでした。また、その過程で新しく導入したセキュリティ製品や、SIEM等によるログ収集が有効に機能するかの確認も目的としてありました。

これまでのペネトレーションテストでは社内に侵入されたことを前提として、攻撃用端末をお渡しして攻撃拠点を作ってから、主に社内侵入後のリスク可視化を行ってきました。ブルーチームにも事前に内容を共有したうえで進めていたため、攻撃後のログ確認はできますが、予想外の攻撃を実際に受けて対処をする経験はできていない状態でした。

そこで今回はフィッシングもWebも物理侵入もすべて対象として、攻撃対象の選定から開始してもらいました。ブルーチーム側にはテストの実施を伝えていないので、本当のインシデント同様の偵察や初期侵入を経験することができました。

弊社をご選定いただけた理由をお教えください

攻撃が初期段階ですぐに止められてしまうと訓練を通じて十分な実践経験を積むことができません。攻撃プランの実現性や成功見込み、アサインされるエンジニアのスキルを重視してベンダーの選定をいたしました。

GMOサイバーセキュリティ byイエラエについては、ペンテスターとして高スキルな方が多く、セキュリティ関連で情報を収集している際に、SNSや著書などで有益な情報を以前より拝見させていただいていました。

深い知見に裏付けられた攻撃プランと、それを実行に移す技術力、裏付ける実績が決め手となり、依頼させていただきました。特に他社がチームの概要などを紹介している中、イエラエさんにはバイネームで体制を出していただき、過去の経験やCTFコンテストの実績を示していただけたため技術的な信頼につながりました。

また前回のペネトレーションテスト実施時にはEDRによる検知で攻撃が止まってしまい、ブルーチームの経験が得られなかったという課題がありましたが、EDRを導入している環境下でも問題なく目標を達成されている実績があり、非常に期待できました。

【テスト概要】
今回のレッドチーム演習では必ず初期侵入を成功させるために最初に3つのチームを作成しました。また、各チーム間で取得した情報や権限を共有することでスピード感のある複合的な攻撃の実施に成功しました。

フィッシングチーム：フィッシングやソーシャルエンジニアリングによる初期侵入
Webチーム：主要プロダクトのゼロデイ調査やシャドウITの探索
物理侵入チーム：オフィスへの物理侵入や無線を利用した内部NWへの侵入

物理侵入は綿密な調整のうえ、非常に自由に取り組ませていただきました。国内では非常に先進的な取り組みになったと思います。フリーアドレスの席で従業員に紛れながら攻撃を行ったり、作業員に変装してオフィス内部の調査を行ったり、採用希望者になりすまして面接を受けるふりをして情報を聞き出そうとしたり、遠隔操作用の機器を設置したりなどです。

事例としては知られていてもなかなか実感がわかない攻撃を実際に受けることでイメージが明確となり、今後はより素早く正確に検知や対応がしやすくなったと思います。

実施について懸念はありましたか

当社としてもこの規模のテストは初めての実施となるため、実施に当たっては様々な懸念がありました。

一つ目はそもそも本当に攻撃が成功するのかという点です。前回のペネトレーションテスト実施時にはEDRによる検知で攻撃が止まってしまうという事象がありました。今回のテストの目的として、ブルーチームの実際の反応やスキルを検証したいという期待がありました。「検知が頻発してしまい早期に緩和策が必要になる」「攻撃元が特定され、テストであることが早期に判明してしまう」「内部への侵入の糸口がつかめず、侵入しても早期排除されてしまう」など攻撃ができない場合、目的を達成できないため、スキルを重視してベンダーを選定いたしました。

二つ目はテスト実施時のトラブル対応です。今回のテストでは物理的な侵入を伴いますが、物理侵入時のトラブルや従業員として潜入した場合の法務的なトラブルに関する懸念がありました。

物理侵入時の想定トラブル
・警備や公的機関への通報が発生する
・取り押さえようとして身体的な被害が発生する
・物理侵入の発覚によりテストの実施が露呈する

法務的な懸念
・社会保険等の手続きの抑止
・契約書に対しての法務整理
・労働契約等の処理

国内でも物理的な侵入まで実施している企業は少なく、当社でも初めての実施となるためレギュレーションが整理されていない状態です。法務、総務、労務など各バックオフィス部門の責任者と課題の洗い出し・妥協点を見つけ、全社的な取り組みとしてセキュリティテストを行いました。

最後に攻撃経験を学びに活かせるかという点です。攻撃受けて訓練するだけではなく、攻撃されたことが社内への有意義な経験として蓄積できるかが重要となります。実践後には全社的な成果共有会を開くなど、全社的な取り組みとして実施をいたしました。また攻撃が成功するかという点だけではなく、最終的なレポートから学びが得られそうかという点も重視してベンダーを選定しました。

レッドチーム演習サービスを
ご利⽤になられて"効果"はいかがでしたか

これまでのペネトレーションテストと比較して圧倒的に実践感が強く非常に満足しています。実際に高スキルな攻撃者に狙われた場合の被害の大きさや対策の難しさについて、強く実感することができました。

ブルーチームでは監視能力や検知後の対応について改めて見直すきっかけとなり、EDRに依存しない検知や調査の仕組みづくりの重要性を再認識しました。またドアセキュリティや不審な端末への意識が高まりました。物理侵入に対する認証基盤への脅威も再確認できたため、今後の構築について議論を進めています。外部インシデントレスポンスベンダーとの連携強化にもつながり非常に学びの多いテストとなりました。

また今回のテストの結果を受けて全社的なセキュリティルールの見直しにもつながってい ます。法務・総務部門で物理的な侵入を検知した際に、情報セキュティ部門まで共有をしたうえでネットワークの異常がないか調査した方がいいなど、新たな発見につながりました。

これまでのペネトレーションテストでは発見できなかった気づきが多く、非常に満足できる取り組みとなりました。

弊社への今後のご期待･ご要望が
ございましたら、お聞かせください

今回のレッドチーム演習をうけて個人個人のスキルアップが重要であると改めて感じました。ログはとれていても分析スキルに個人差があるなど、組織的な課題も見つかりました。できていること、できていないことの可視化をしたうえで体制も含めて強化していきたいです。

様々な攻撃を経験しておきたく、来年度以降も別パターンでの実施をぜひご依頼したいと考えています。またペネトレーションテスト以外に、ブルーチームの訓練や教育に関するコンサルについてもぜひご相談させてください。

会社名	Sansan株式会社
事業内容	「出会いからイノベーションを生み出す」をミッションとして掲げ、働き方を変えるDXサービスを提供しています。
URL	https://jp.corp-sansan.com/