金融庁より、TLPT（Therat-Lead Penetration Test）というキーワードが登場してきています。また、TIBER（Threat Intelligence Based Ethical Red Teaming）という概念が欧州系金融系を中心に話題になっています。

今回は、その動向と読むべき資料について整理をしたいと思います。

背景

2018年7月に発表されたNISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略2018」では以下のように言われており、「脅威ベースのペネトレーションテスト」が登場しています。

金融庁において、大規模な金融機関に対して、そのサイバーセキュリティ対応能力をもう一段引き上げるため、「脅威ベースのペネトレーションテスト（テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト）」等、より高度な評価手法の活用を促していく。

一方、金融庁でも「平成29事務年度 金融行政方針について」という資料で以下のようなコメントを述べています。

大規模な金融機関については、そのサイバーセキュリティ対応能力をもう一段引き上げるため、より高度な評価手法*の活用を促す。また、金融機関に対し金融ISAC等を通じた情報共有の一層の推進を促す。

* 例えば、金融機関（外部ベンダー等の利用を含む）による脅威ベースのペネトレーションテスト（テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト）。 

また、海外のペネトレーションテストについて研究レポートを提示し、TLPT（Threat-Lead Penetration Test）という概念を提唱して海外動向についてまとめています。

• 諸外国の「脅威ベースのペネトレーションテスト（TLPT）」に関する報告書

その中で、いくつか知っておくべき付随する概念があるので今回はその概念をまとめておきたいと思います。

専門用語の定義

その前に、いくつか言葉を整理しておきましょう。但し、それぞれの言葉の定義はあくまで筆者が実務や文献をもとに考える定義になり、企業によっては別の意味・別の範囲で使っていることも多いので注意しましょう。

脆弱性スキャン（Vulnrability Scan・Vulnrability Assessment）

Nessus、Qualys、Nexposeなどの脆弱性スキャナを使った機械的なプロセスのことです。少し前にCyber Hygiene（サイバー衛生）という単語が登場し、いわゆるパッチ管理や適切なパスワード管理などの基本動作を徹底する意味で使われていましたが、その一つとしても挙げられる項目だと言えます。海外では、VA（Vulnerability Assessment）と呼ばれますが、多くはこのことを指しています。

セキュリティ診断（Security Assessment）

セキュリティ診断とは、脆弱性スキャンの実施に加え、手動診断を行うイメージです

脆弱性スキャン＋手動テスト（追加テスト and/or 誤検知の排除）

手動診断を行う目的は様々ですが、Webアプリケーションなどの場合は手動でしか発見が難しい仕様・設計関連の脆弱性を洗い出すために、プラットフォーム診断の場合はスキャナの結果に対する誤検知排除などが挙げられます。セキュリティ診断の目的は、「脆弱性を全て洗い出すこと」を目的とした行為になります。

ペネトレーションテスト（Penetration Test）

ペネトレーションテスト（侵入テスト）は、攻撃者の視点から脆弱性の悪用可否を検証し、あらかじめ定義した目的（例えば、クレジットカードの漏洩）を達成できるか否か検証するテストです。ペネトレーションテストの場合、基本的なゴールはフラグ（多くの場合、カード情報・個人情報）を奪取できるかどうかが基本的なゴールになりますので、発券される脆弱性の網羅性はあまりスコープでなく、あくまでたどり着くまでの道筋があるかどうかを検証することに焦点が挙げられます。

Red Team Operation（Adversary Simulation）

Red Team Operationはペネトレーションテストの類似した概念です。一部のベンダーは同じ意味で使っていたり、マーケティング用語として了されているケースも多いですが、少し定義を当ててみたいと思います。

以下に、私が挙げるRed Team Operationの定義です。

1. 攻撃者の視点 ＋ 脅威（攻撃シナリオ）ベースで目的の達成有無を検証するテスト。そのため、脆弱性は利用することが目的であり、脆弱性の網羅性はない。
2. 評価の最終ゴールは、ビジネスに対する影響評価。
3. 組織の耐性・回復能力（Resilience）も含めて評価する。言い換えれば、技術的なセキュリティ対策のみならず、プロセス面などを含めた評価になる。そのため、Blue Teamへ通知することなく、Security OperationとIncident Handlingを含めて評価を実施する。
4. 上記の目的のため、実施時間帯を２４時間いつでも攻撃可能な前提とすることが多い。

Red Team Operationの重要な点として、具体的なTTPs（Tactics, Techniques and Procedures）をもっている攻撃者を想定し、攻撃シナリオを明確にして実施をすることを前提としています。また、最終的には「ビジネスへの影響を評価する」というゴールであるため、セキュリティ運用チームなどの対応を含めたり、２４時間いつ攻撃されることも前提に、単純な製品ベースの対策ではないプロセスを含めたテストのスコープに含まれると言えます。

金融庁が提示しているTLPT、これから説明するTIBERについてもこの概念を前提として構築されていると考えます。

TIBER

金融庁のレポートでは、ECB（欧州中央銀行）が提示したTIBER（Threat Intelligence Based Ethical Red Teaming）という概念を紹介しています。

TIBERについて具体的なレポートは執筆時点で２つあります。特に最初の資料については、どのようにTIBER-EUを進めていくべきなのか、比較的プロジェクト計画や進め方を定義したような内容で一読する価値がありますが、基本的にはRed Team Operationを意識していると思われます。*1

1. TIBER-EU FRAMEWORK (How to implement the European framework for Threat Intelligence-based Ethical Red Teaming)
   
2. TIBER-EU Framework（Services Procurement Guidelines）

なお、ECBが発行しているものは厳密にはTIBER-EUと呼ばれ、それを各国の基準も含めてカスタマイズしたものがTIBER-XXとして別途定義され、有名なものとしてTIBER-NLが挙げられます。

• TIBER-NL GUIDE How to conduct the TIBER-NL test

CBEST & CREST

CBEST & CRESTとは、イギリスで主流となりつつある基準＆資格です。個人的には下火になると思いあまり注目していなかったのですが、日本でも少しづつ注目されています。（現時点での整理とドキュメントのリンク整理を目的としています。）

CBEST

CBESTとは、イングランド銀行（BOE：Bank of England）が出したTLPTを実現するためのフレームワークです。詳しくは、以下のサイトに記載されている資料へのリンクがありますが、以下の３資料については読んでおくべきだと思われます。

www.bankofengland.co.uk

• CBEST Intelligence-Led Testing - CBEST Implementation Guide
• CBEST Intelligence-Led Testing - CBEST Services Assessment Guide
• CBEST Intelligence-Led Testing - Understanding Cyber Threat Intelligence Operations

CREST

CREST（The Council of Registered Ethical Security Testers）とは、CBESTを実現するための資格団体・業界団体です。CRESTは、非常に４種類のドメイン（Penetration Testing・Threat Intelligence・Incident Response・Security Architecture）に対して、成熟度別の資格を提供しています。（実際に、資格を持ってサービスを提供している会社の一覧が提供されています。）

CRESTはCBESTをベースとしているため、CBESTの紹介資料も含めて読むべき資料をいかに列挙します。

• Implementation & procurement guides（リンク集）
• What is CREST?
• An introduction to CBEST
• A Guide to the Cyber Essentials Scheme（Cyber Essentials Implementation Guide）
• CBEST Implementation Guide
• Cyber Security Monitoring and Logging Guide
• Cyber Security Incident Response Supplier Selection Guide
• A guide for running an effective Penetration Testing programme
• Cyber Security Incident Response Guide
• Maturity Assessment Tools

まとめ 

今回の記事では、TLPT（Threat-Lead Penetration Test）に関する海外動向を整理しました。今後の動向を知る意味でも押させておくべき概念の一つといえるでしょう。

ちなみに、今後のテスト動向について著者の考えを整理しておきたいと思います。

現時点で考えられているセキュリティテストの多くは、技術カットで脅威を取られている診断手法です。しかし、技術的脅威の対策が進めば攻撃者はさらに高度な観点から攻撃を仕掛けてくるでしょう。（技術的な攻撃ポイントが前と比べて減ってきたからこそ、Social-Engineering的手法を活用する手口が増えたとも言えるでしょう。）

その動向としては、大きく二つ挙げられます。

技術カットの観点からは、サプライチェーン攻撃などが挙げられます。要するに、対策の進んだ場所をいきなり攻撃をするわけではなく、周辺のベンダー・子会社・海外拠点から攻撃を仕掛け、徐々に内部に侵入する方法です。

一方、攻撃者が注目してくるのはビジネスプロセス（Business Process）だと思われます。BEC（Business Email Compromise）などはその先駆けで、今後はより手の込んだ手法が登場してくるでしょう。そのため、Red Team Operationの次は、ビジネスプロセス指向のアプローチ、BPOAS（Business Process Oriented Adversary Simulation）といったテストが流行してくるのではないかと考えています。

LinkedInのブログでたまたま見つけましたが、BSides Tokyoが開かれるらしいです。

www.linkedin.com

bsides.tokyo

BSidesシリーズとは？

米国から始まった（？）セキュリティカンファレンスシリーズ群で、各地の発起人が確か一定の条件を満たせば、BSidesという名前を付けて開けるカンファレンスです。（違っていたらすいません...）

米国にいた頃、BSides Charm、BSides Boston、BSidesLV、BSides DC、BSides Philadelphiaなど東海岸を中心に色々と参加していました。個人的に旅行次いでにバスで乗り継いでいったので思い出深いカンファレンス群です。

米国の特徴とすると、以下の通りだと思います。

特徴１：安価な参加費

参加費が非常に安価であるという特徴があります。大体無料から高くても３０ドルぐらい（BSides LVだけは別格で150ドルとかですがBlack Hatと比べれば全然安いです。）なので、非常に参加しやすい特徴があります。

特に有名企業や政府機関がスポンサーに入っている場合、参加バッジやSwag（参加記念品）も豪華で、昼食もサポートされたりします。

特徴２：幅広いコンテンツ

講演は、正直開催される場所や知名度にも大きく依存します。但し、意外と小さいカンファレンスだと、あまりメジャーでない内容でも面白いものも多く、研究活動などをしていると結構参考になるセッションも多い印象があります。

また、講演ではなくトレーニングやCTFに参加することも可能です。BSides DCに行ったときは、Broというツールのトレーニングを受けて非常に勉強になりました。

トレーナーもお金儲けというよりは、コミュニティへの貢献、それに伴うプレゼンスの向上などお金以外のメリットが働きます（米国の流動的な就活市場ではそういったコミュニティへの貢献なども大きな要素となるため）。きちんとインセンティブが働く形になっているため、かなり質の高い講義が受けられた記憶があります。

BSides Tokyoについて

BSides Tokyoも無料らしいです。

日本で開かれるセキュリティ・カンファレンスといえば、AV TokyoやCode Blueなどが有名ですが、ぜひ盛り上がってほしいですね。

前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技術について触れようと考えています。

CTI Analystが陥りやすいバイアスとは？

CTI Analystは限られた情報から分析を行うゆえ、陥りやすいバイアスが存在します。詳しくは、誤謬 - Wikipediaや以下の本を読んでもらうとして、CTI Analystはこうしたバイアスに問われないように数々の誤謬・詭弁に通じている必要があると考えられます。

ウンコな議論 (ちくま学芸文庫)

• 作者: ハリー・G.フランクファート,Harry G. Frankfurt,山形浩生
• 出版社/メーカー: 筑摩書房
• 発売日: 2016/11/09
• メディア: 文庫
• この商品を含むブログ (1件) を見る

 

反論の技術―その意義と訓練方法 (オピニオン叢書)

• 作者: 香西秀信
• 出版社/メーカー: 明治図書出版
• 発売日: 1995/08/01
• メディア: 単行本
• 購入: 14人 クリック: 85回
• この商品を含むブログ (31件) を見る

 

レトリックと詭弁 禁断の議論術講座 (ちくま文庫 こ 37-1)

• 作者: 香西秀信
• 出版社/メーカー: 筑摩書房
• 発売日: 2010/05/10
• メディア: 文庫
• 購入: 3人 クリック: 48回
• この商品を含むブログ (13件) を見る

 

論より詭弁 反論理的思考のすすめ (光文社新書)

• 作者: 香西秀信
• 出版社/メーカー: 光文社
• 発売日: 2007/02/16
• メディア: 新書
• 購入: 8人 クリック: 86回
• この商品を含むブログ (48件) を見る

 

詭弁論理学 改版 (中公新書 448)

• 作者: 野崎昭弘著
• 出版社/メーカー: 中央公論新社
• 発売日: 2017/04/19
• メディア: 新書
• この商品を含むブログ (5件) を見る

 

 ACH（Analysis of Competing Hypotheses）

ACHとは、元CIA分析官のRichard Heuerにより提唱された仮設検証のプロセスです。具体的には、様々な仮説を分析し、最もらしい仮説を選ぶのにつかわれる方法です。

1. Enumulate（可能性のある仮説をすべて列挙する）
2. Support（各仮説を支える or 否定する証拠を探す）
3. Compare（ACH Matrixを使いながら各証拠を比較して、各証拠が仮説をサポートするか否か評価する）
4. Refine（Matrixを見直し、可能性が低い仮説や不適切な証拠を排除する）
5. Prioritize（仮説の中で最も確からしい仮説を選ぶ）
6. Depedence（選んだ仮説の証拠への依存度を評価する）
7. Report（仮説を報告書としてまとめる）
8. Qualify（証拠や前提が変わった時点で、仮説を再評価する）

ACHのCyber Threat Intelligenceの応用については、Cyber Threat Intelligence製品を開発しているDigital Shadowなどがブログで具体例を公開していますので、参考にしていただければと思います。

• Digital Shadows’ Most Popular Blogs of 2017: Analysis of Competing Hypotheses For The Win
• Leak on Aisle 12! An Analysis of Competing Hypotheses for the Tesco Bank Incident

Attribution

Attributionとは、侵入や攻撃活動の活動主体を分析する技術です。最近仮想通貨が流出したCoinCheckなどでもNation-StateレベルのAttributionが行われており、かなり注目度の高い技術だと思います。

www.bloomberg.com

Attributionのレポートを多数だしているMandientのレポート"APT1: Exposing One of China’s Cyber Espionage Units"をもとに定義を見てみましょう。

Methods for attributing APT personnel often involve the synthesis of many small pieces of information into a singular comprehensive picture. Often this unified viewpoint reveals not only the group attribution, but coherent pockets of behavior within the group which we perceive to be either small teams or individual actors. We refer to these as “personas.”

 

APT攻撃を行う攻撃者を特定する手法は、多くの情報のピースを包括的な絵として統合することに近しい。 しばしば、この統合的な視点は、グループの特定だけでなく、個別の攻撃者やチームによるグループ内の一貫した行動を明らかにする。我々は、これらを「ペルソナ」と呼んでいる。 

 SANSでは、Attributionの対象は大きく４種類（攻撃キャンペーン、攻撃者、攻撃グループ、国家）あると述べており、どれについて分析しようとしているか明確にするように推奨しています。

但し、ShmooCon 2017の発表でも触れられていましたが、Cyber Attributionに対抗するため、Cyber Disinformationと呼ばれる技術も存在しますので注意が必要です。

www.scientia-security.org

また、SANS CTI Summit 2017でも触れられていましたが、一般企業にとってAttributionは必要かという議論も存在します。（要するに誰が攻撃してくるにせよ、結局は組織を守らなければいけないのでAttributionは無意味であるという議論です。詳しくは、当該ブログ記事を参照してください。）

www.scientia-security.org

確かにこの考え方も正しく、Attributionはより成熟したCTIプログラムを持つ企業がやるべき内容で、初期段階ではThreat intelligenceをいかに消費するかに焦点を当てたほうが良いかもしれません。どうしても、Attributionが必要だという場合には、Cyber Attribution Reportを自動生成してくれるジョークソフトもあります。（日本の場合は、Hello Kittyとなっています）

まとめ

今回は、CTI Analystが考慮すべき思考法（誤謬・ACH）、Attribution（攻撃者の特定）について触れました。CTI Analystは、ある意味情報分析技術の訓練が重要になりますので、これらの技術についても学んでいくことが必要になると思います。ちなみに、改めて読みましたが、この資料非常によくまとまっていると思います。

qiita.com