金融庁より、TLPT（Therat-Lead Penetration Test）というキーワードが登場してきています。また、TIBER（Threat Intelligence Based Ethical Red Teaming）という概念が欧州系金融系を中心に話題になっています。

今回は、その動向と読むべき資料について整理をしたいと思います。

背景

2018年7月に発表されたNISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略2018」では以下のように言われており、「脅威ベースのペネトレーションテスト」が登場しています。

金融庁において、大規模な金融機関に対して、そのサイバーセキュリティ対応能力をもう一段引き上げるため、「脅威ベースのペネトレーションテスト（テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト）」等、より高度な評価手法の活用を促していく。

一方、金融庁でも「平成29事務年度 金融行政方針について」という資料で以下のようなコメントを述べています。

大規模な金融機関については、そのサイバーセキュリティ対応能力をもう一段引き上げるため、より高度な評価手法*の活用を促す。また、金融機関に対し金融ISAC等を通じた情報共有の一層の推進を促す。

* 例えば、金融機関（外部ベンダー等の利用を含む）による脅威ベースのペネトレーションテスト（テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト）。 

また、海外のペネトレーションテストについて研究レポートを提示し、TLPT（Threat-Lead Penetration Test）という概念を提唱して海外動向についてまとめています。

• 諸外国の「脅威ベースのペネトレーションテスト（TLPT）」に関する報告書

その中で、いくつか知っておくべき付随する概念があるので今回はその概念をまとめておきたいと思います。

専門用語の定義

その前に、いくつか言葉を整理しておきましょう。但し、それぞれの言葉の定義はあくまで筆者が実務や文献をもとに考える定義になり、企業によっては別の意味・別の範囲で使っていることも多いので注意しましょう。

脆弱性スキャン（Vulnrability Scan・Vulnrability Assessment）

Nessus、Qualys、Nexposeなどの脆弱性スキャナを使った機械的なプロセスのことです。少し前にCyber Hygiene（サイバー衛生）という単語が登場し、いわゆるパッチ管理や適切なパスワード管理などの基本動作を徹底する意味で使われていましたが、その一つとしても挙げられる項目だと言えます。海外では、VA（Vulnerability Assessment）と呼ばれますが、多くはこのことを指しています。

セキュリティ診断（Security Assessment）

セキュリティ診断とは、脆弱性スキャンの実施に加え、手動診断を行うイメージです

脆弱性スキャン＋手動テスト（追加テスト and/or 誤検知の排除）

手動診断を行う目的は様々ですが、Webアプリケーションなどの場合は手動でしか発見が難しい仕様・設計関連の脆弱性を洗い出すために、プラットフォーム診断の場合はスキャナの結果に対する誤検知排除などが挙げられます。セキュリティ診断の目的は、「脆弱性を全て洗い出すこと」を目的とした行為になります。

ペネトレーションテスト（Penetration Test）

ペネトレーションテスト（侵入テスト）は、攻撃者の視点から脆弱性の悪用可否を検証し、あらかじめ定義した目的（例えば、クレジットカードの漏洩）を達成できるか否か検証するテストです。ペネトレーションテストの場合、基本的なゴールはフラグ（多くの場合、カード情報・個人情報）を奪取できるかどうかが基本的なゴールになりますので、発券される脆弱性の網羅性はあまりスコープでなく、あくまでたどり着くまでの道筋があるかどうかを検証することに焦点が挙げられます。

Red Team Operation（Adversary Simulation）

Red Team Operationはペネトレーションテストの類似した概念です。一部のベンダーは同じ意味で使っていたり、マーケティング用語として了されているケースも多いですが、少し定義を当ててみたいと思います。

以下に、私が挙げるRed Team Operationの定義です。

1. 攻撃者の視点 ＋ 脅威（攻撃シナリオ）ベースで目的の達成有無を検証するテスト。そのため、脆弱性は利用することが目的であり、脆弱性の網羅性はない。
2. 評価の最終ゴールは、ビジネスに対する影響評価。
3. 組織の耐性・回復能力（Resilience）も含めて評価する。言い換えれば、技術的なセキュリティ対策のみならず、プロセス面などを含めた評価になる。そのため、Blue Teamへ通知することなく、Security OperationとIncident Handlingを含めて評価を実施する。
4. 上記の目的のため、実施時間帯を２４時間いつでも攻撃可能な前提とすることが多い。

Red Team Operationの重要な点として、具体的なTTPs（Tactics, Techniques and Procedures）をもっている攻撃者を想定し、攻撃シナリオを明確にして実施をすることを前提としています。また、最終的には「ビジネスへの影響を評価する」というゴールであるため、セキュリティ運用チームなどの対応を含めたり、２４時間いつ攻撃されることも前提に、単純な製品ベースの対策ではないプロセスを含めたテストのスコープに含まれると言えます。

金融庁が提示しているTLPT、これから説明するTIBERについてもこの概念を前提として構築されていると考えます。

TIBER

金融庁のレポートでは、ECB（欧州中央銀行）が提示したTIBER（Threat Intelligence Based Ethical Red Teaming）という概念を紹介しています。

TIBERについて具体的なレポートは執筆時点で２つあります。特に最初の資料については、どのようにTIBER-EUを進めていくべきなのか、比較的プロジェクト計画や進め方を定義したような内容で一読する価値がありますが、基本的にはRed Team Operationを意識していると思われます。*1

1. TIBER-EU FRAMEWORK (How to implement the European framework for Threat Intelligence-based Ethical Red Teaming)
   
2. TIBER-EU Framework（Services Procurement Guidelines）

なお、ECBが発行しているものは厳密にはTIBER-EUと呼ばれ、それを各国の基準も含めてカスタマイズしたものがTIBER-XXとして別途定義され、有名なものとしてTIBER-NLが挙げられます。

• TIBER-NL GUIDE How to conduct the TIBER-NL test

CBEST & CREST

CBEST & CRESTとは、イギリスで主流となりつつある基準＆資格です。個人的には下火になると思いあまり注目していなかったのですが、日本でも少しづつ注目されています。（現時点での整理とドキュメントのリンク整理を目的としています。）

CBEST

CBESTとは、イングランド銀行（BOE：Bank of England）が出したTLPTを実現するためのフレームワークです。詳しくは、以下のサイトに記載されている資料へのリンクがありますが、以下の３資料については読んでおくべきだと思われます。

www.bankofengland.co.uk

• CBEST Intelligence-Led Testing - CBEST Implementation Guide
• CBEST Intelligence-Led Testing - CBEST Services Assessment Guide
• CBEST Intelligence-Led Testing - Understanding Cyber Threat Intelligence Operations

CREST

CREST（The Council of Registered Ethical Security Testers）とは、CBESTを実現するための資格団体・業界団体です。CRESTは、非常に４種類のドメイン（Penetration Testing・Threat Intelligence・Incident Response・Security Architecture）に対して、成熟度別の資格を提供しています。（実際に、資格を持ってサービスを提供している会社の一覧が提供されています。）

CRESTはCBESTをベースとしているため、CBESTの紹介資料も含めて読むべき資料をいかに列挙します。

• Implementation & procurement guides（リンク集）
• What is CREST?
• An introduction to CBEST
• A Guide to the Cyber Essentials Scheme（Cyber Essentials Implementation Guide）
• CBEST Implementation Guide
• Cyber Security Monitoring and Logging Guide
• Cyber Security Incident Response Supplier Selection Guide
• A guide for running an effective Penetration Testing programme
• Cyber Security Incident Response Guide
• Maturity Assessment Tools

まとめ 

今回の記事では、TLPT（Threat-Lead Penetration Test）に関する海外動向を整理しました。今後の動向を知る意味でも押させておくべき概念の一つといえるでしょう。

ちなみに、今後のテスト動向について著者の考えを整理しておきたいと思います。

現時点で考えられているセキュリティテストの多くは、技術カットで脅威を取られている診断手法です。しかし、技術的脅威の対策が進めば攻撃者はさらに高度な観点から攻撃を仕掛けてくるでしょう。（技術的な攻撃ポイントが前と比べて減ってきたからこそ、Social-Engineering的手法を活用する手口が増えたとも言えるでしょう。）

その動向としては、大きく二つ挙げられます。

技術カットの観点からは、サプライチェーン攻撃などが挙げられます。要するに、対策の進んだ場所をいきなり攻撃をするわけではなく、周辺のベンダー・子会社・海外拠点から攻撃を仕掛け、徐々に内部に侵入する方法です。

一方、攻撃者が注目してくるのはビジネスプロセス（Business Process）だと思われます。BEC（Business Email Compromise）などはその先駆けで、今後はより手の込んだ手法が登場してくるでしょう。そのため、Red Team Operationの次は、ビジネスプロセス指向のアプローチ、BPOAS（Business Process Oriented Adversary Simulation）といったテストが流行してくるのではないかと考えています。