レッドチーム評価サービス

レッドチーム評価サービスは、お客様のネットワーク環境に対し実際の攻撃と同様の手段で疑似的なサイバー攻撃を行い(レッドチーム演習)、お客様の情報セキュリティ対策が、サイバー攻撃に対してどの程度対応できるのかを検証します。技術的な情報セキュリティ対策状況を評価し、最新の攻撃を防ぐための方策を提言するサービスです。

レッドチーム評価サービスは、お客様のネットワーク環境に対し実際の攻撃と同様の手段で疑似的なサイバー攻撃を行い(レッドチーム演習)、お客様の情報セキュリティ対策が、サイバー攻撃に対してどの程度対応できるのかを検証します。技術的な情報セキュリティ対策状況を評価し、最新の攻撃を防ぐための方策を提言するサービスです。

サイバー攻撃はますます巧妙化しており、ウイルス対策ソフトなどを突破した攻撃を検知できず、情報漏洩などの実害が発生してしまうケースが後を絶ちません。最新のサイバー攻撃に対応するため、企業は技術的対策を導入するだけでなく、定期的な診断によるセキュリティ対策の有効性の評価・改善が不可欠です。
攻撃シナリオのプロセスと対策
GSXのレッドチーム評価サービスは、攻撃してくる敵対者の視点でサイバー攻撃を行い、ウイルス対策ソフトなどの技術的対策の有効性を評価、改善策を提言するサービスです。

レッドチームとは実践的な対戦形式の演習において攻撃者をレッドチームとしたことが由来です。サイバーセキュリティにおいては、攻撃者が実際に使う攻撃手法を用いて脆弱性を明らかにするための組織をレッドチームと呼びます。

レッドチーム評価サービスでは、お客様のネットワーク環境を事前に確認の上で攻撃を準備し、環境内の端末にマルウェアがダウンロードされた想定で攻撃を行います。使用しているセキュリティ対策製品や機器による「防御」「検知」「記録」の状況を確認し、攻撃に対する課題を抽出。お客様の技術的対策における課題を解決するために有効なソリューションなどを提言します。
レッドチーム評価サービスの特徴
  • 攻撃者の視点から、最新のサイバー攻撃への対策状況を評価可能

    攻撃者の視点から、最新のサイバー攻撃への対策状況を評価可能

    最新のサイバー攻撃に対し、自社の技術的対策の対応状況を明らかにするためには実際に攻撃を受けて確認する必要があります。
    GSXのレッドチーム評価サービスは、最新のサイバー攻撃と同等の手法で疑似的な攻撃を実施し、お客様の対策状況を明らかにすることができます。

  • IPA攻撃シナリオに準拠したサービス実施

    IPA攻撃シナリオに準拠したサービス実施

    GSXのレッドチーム評価サービスは、IPAが発行する 『高度標的型攻撃』対策に向けたシステム設計ガイドにおいて定義されている「初期潜入以降の攻撃シナリオごとの想定脅威と攻撃手口、攻撃が成功する背景をまとめたもの」に準拠して実施します。

  • 企業活動を阻害することなく実施可能

    企業活動を阻害することなく実施可能

    診断の内容は、事前ヒアリングによりお客様のネットワーク環境に実害を与えない内容を選定し実施しますので、診断実施中に企業活動が止まることはございません。

※下表はIPAが発行する 『高度標的型攻撃』対策に向けたシステム設計ガイドにおいて定義されている「初期潜入以降の攻撃シナリオごとの想定脅威と攻撃手口、攻撃が成功する背景をまとめたもの」になります。このシナリオに沿って弊社が定義する擬似攻撃の一例を表しております。
No. 主なプロセス 概要 疑似攻撃の一例
1 攻撃立案 Webサイト、プレスリリースなどのオープンな情報から標的とする企業の情報を収集します 本調査対象外
2 攻撃準備 偵察結果を基に、標的とする企業オリジナルの攻撃コード(エクスプロイト)とマルウェア(実行ファイル)を作成します 本調査対象外
3 初期潜入 添付ファイル付きメール(Email)、URLリンク付メールからドライブバイダウンロード(Web)、USBで武器を配送します 【パターン 1】 本調査では、不正URLを紙面でお伝えします ※標的型メールを受信したという想定です
マルウエア設置サイトに誘導します 【パターン 2】不正URLに接続いただき、不正ファイルのダウンロードを実施いただきます ※不正ファイルをダウンロード・実行したという想定です
4 基盤構築 ・バックドア開設 ・ネットワーク環境の調査・探索 ① バックドアの開設が可能かを確認します
② 感染端末の情報を収集します
5 内部侵入・調査 ・端末間での侵害拡大 ・サーバへの侵入 ① ポートスキャンなどによりローカルネットワークを調査します
② 共有フォルダに不正ファイルをアップロードします
6 目的遂行 ・データの外部送信 ・データの破壊 ・業務妨害 ① 取得情報をC&C サーバへアップロードします

サービス対象範囲

引用:IPA 『高度標的型攻撃』対策に向けたシステム設計ガイド

評価手法

下表「攻撃シナリオ一覧」に基づき、評価します。
事前ヒアリングによりお客様のネットワーク環境に実害を与えない内容を選定、実施します。

シナリオ*

実施内容

評価ポイント

①計画立案

  • 評価対象環境を確認する。

②攻撃準備

  • 疑似マルウェア配布サーバ、C&Cサーバを用意する。

③初期潜入

  • 疑似マルウェア配布サーバから、マルウェアファイルを端末にダウンロードする。
  • ダウンロードを防御・検知できるか?
  • ダウンロードしたサイトやファイル名を特定できるか?

④基盤構築

  • 端末内で疑似マルウェアファイルを実行する(成功するとC&Cサーバに接続する)。
  • 疑似マルウェアの実行を防御・検知できるか?
  • 実行された疑似マルウェアファイルを特定できるか?
  • C&Cサーバへの接続を防御・検知できるか?
  • 接続したC&Cサーバを特定できるか?

⑤内部侵入・調査

  • C&Cサーバから端末を遠隔操作し、攻撃(情報の収集、他端末へのポートスキャン等)をする。
  • 攻撃を防御・検知できるか?
  • 攻撃内容を特定できるか?

⑥目的遂行

  • ファイルサーバから目的のファイルを取得し、C&Cサーバへアップロードする。
  • ファイルのアップロードを防御・検知できるか?
  • アップロードされたファイルを特定できるか?
評価対象内容
*IPA「「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開」より抜粋。
https://www.ipa.go.jp/security/vuln/newattack.html

攻撃シミュレーション例

No. 攻撃シミュレーション例(基本形)
1 カレントディレクトリ確認
2 ディレクトリ移動(Desktop)
3 テスト用フォルダ作成
4 ディレクトリ移動
5 システム情報取得
6 IPアドレス取得
7 プロセス情報取得
8 カレントディレクトリ取得
9 同一ネットワークの情報取得
No. 攻撃シミュレーション例(基本形)
10 共有ファイルサーバの情報探索
11 ファイルサーバからテストファイルをテスト端末のデスクトップにダウンロード
12 テストファイルをC&Cサーバにアップロード
(テスト端末からC&Cサーバへ)
13 C&Cサーバからテスト端末にファイルをアップロード
(C&Cからテスト端末へ)
14 C&Cサーバからアップロードされたファイルをファイルサーバにコピー
15 特定端末へのポートスキャン
16 スクリーンショット取得
17 キーストローク保存
  • 上記のような攻撃シミュレーションをお客様とご調整の上、実施をさせていただきます
  • お客様にご用意いただくPCの権限設定により、攻撃シミュレーションのシナリオが変わる可能性がございます
レッドチーム評価は次の流れで実施します

01|評価内容の確認

キックオフミーティングを開催し、評価の目的、内容、および双方のタスクとスケジュールについてご説明し、確認します。

02|対象環境の確認

評価対象環境の情報をご提供いただきます。また評価実施項目について実施の可否をご判断いただきます。

03|評価実施準備

当社は評価に使用するサーバや疑似マルウェアを準備します。お客様は評価に使用する端末の用意、関係者への周知をします。

04|評価作業の実施

お客様の指定する場所にて、評価作業を実施します。作業は原則1日以内、平日営業時間内に実施します。

05|評価証跡の収集

評価実施時間に発生した、セキュリティ機器類のログ等を、報告書作成のための証跡としてご提供いただきます。

06|報告書作成

評価結果および証跡類を元に、報告書を作成します。報告会前にご提供しご確認いただくことも可能です。

07|報告会

報告会を開催し、報告書の内容をご説明します。その後のお問い合わせにつきましては、1ヶ月間ご対応します。

注意事項

事前のお打ち合わせにて、以下事項を確認させていただきます。
  • 現在導入されているセキュリティ機器などから、調査後のログ取得ポイントを確認させていただきます
  • (本調査目的として)バックドアの設置によって”乗っ取られる端末”をお客様にご用意いただきます
※一般社員様と同じ端末(権限)設定にてご用意いただきます
※端末は調査終了後、お客様にてクリーンインストールいただきます
※端末のご用意が難しい場合には、弊社から端末をお持ち込みさせていただきます
レッドチーム評価サービス 実施スケジュール
※事前のお客様環境ヒアリングから総合評価の報告書ご納品まで約1.5ヶ月を予定しております
※お客様環境やログの受領状況により全体のスケジュール感や追加費用を頂戴することがございます
料金は個別にお見積もりいたします。下記の「お問い合わせはこちら」よりお問い合わせください。
本サービスでは、「セキュリティリスク評価報告書」をご納品します。

「セキュリティリスク評価報告書」の目次内容

1.本書の目的
2.疑似攻撃
 2-1.疑似攻撃環境
 2-2.疑似攻撃実施 内容と結果
3.総合評価
4.改善策
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。