脅威ベースペネトレーションテスト（TLTP）とは？
特徴やプロセス、ペネトレーションテストとの違いをわかりやすく解説

脅威ベースペネトレーションテスト（TLTP：Threat-Led Penetration Testing）は、特定の脅威を模倣し、攻撃者の視点からシステムやネットワークのセキュリティを評価する方法です。本記事では脅威ベースペネトレーションテスト（TLTP）について、特徴やプロセス、一般的なペネトレーションテストとの違いなどを分かりやすく解説します。

目次

• 脅威ベースペネトレーションテストの特徴
• 脅威ベースペネトレーションテストのプロセス
• 脅威ベースペネトレーションテストの利点
• 脅威ベースペネトレーションテストと一般的なペネトレーションテストの違い

脅威ベースペネトレーションテストの特徴

脅威ベースペネトレーションテストの特徴は、従来のペネトレーションテストと比べて、よりターゲットを絞り、実際の攻撃者が使用する技術や戦術に基づいてセキュリティを評価する点にあります。以下にその特徴をまとめます。

攻撃者の視点で評価：脅威ベースペネトレーションテストでは、攻撃者の立場に立ってシステムのセキュリティを評価します。これにより、特定の攻撃者が利用する可能性のある攻撃方法や経路をシミュレートし、組織の防御がどれだけ強力であるかが評価できます。

特定の脅威シナリオに基づく：攻撃シナリオは特定の脅威に基づいて設計されます。例えば、以下のような脅威が考慮されます。

• 内部の攻撃者（悪意のある従業員）
• 外部からの攻撃者（ハッカー、競合他社、サイバー犯罪者）
• 国家支援の高度な持続的脅威（APT）
• サプライチェーン攻撃やソーシャルエンジニアリング

これにより、組織のリスクに対してより現実的なテストが実施できます。 

リスクベースのアプローチ：脅威ベースペネトレーションテストは、リスク評価に基づいています。つまり、組織のリスクプロファイルに基づき、最も重要な脅威や攻撃者を特定し、その脅威に対してセキュリティをテストします。これにより、最も深刻なリスクを明確にし、それに対する防御策を優先的に強化できます。

高度な攻撃手法の模倣：脅威ベースペネトレーションテストでは、現実の攻撃者が使用する可能性のある高度な手法を模倣します。例えば、ソーシャルエンジニアリング、フィッシング、マルウェア攻撃、エクスプロイト（ゼロデイ攻撃など）などです。これにより、通常のペネトレーションテストでは見逃されがちな攻撃に対する防御能力が評価できます。

ターゲットを絞った評価：従来のペネトレーションテストが広範囲の脆弱性を探るのに対し、脅威ベーステストでは特定の脅威シナリオに基づいて攻撃を行うため、テストの焦点が絞られます。例えば、特定の業界、地域、または組織の脆弱性に焦点を当てることで、より現実的で意味のあるテスト結果を得ることができます。

攻撃のリソースと能力を模倣：脅威ベースペネトレーションテストでは、攻撃者が持つリソースと能力を考慮に入れます。例えば、攻撃者が持つスキル、ツール、情報、時間、予算などを想定し、それに基づいてテストを設計します。これにより、攻撃者が現実的に使用する手法を高い精度で模倣できます。

攻撃経路の特定：攻撃者がどのようにシステムに侵入するか、どの経路を辿るかを模倣し、その脆弱性を特定します。これにより、通常のテストでは見逃されがちな侵入経路や防御策の不足を見つけ出します。

組織のセキュリティ対策を強化：テストの結果に基づき、組織は実際の脅威に対応するためのセキュリティ対策を強化できます。脅威ベースで評価された結果は、具体的な防御策やリスク軽減策を提案するため、より効果的なセキュリティ対策につなげることができます。

なお、脅威ベースペネトレーションテストは「レッドチーム演習」とよばれるものとほぼ同一と考えてもらって問題ありません。

脅威ベースペネトレーションテストのプロセス

脅威ベースペネトレーションテストは攻撃者の視点で、特定のシナリオに沿って行われるのが特徴です。以下のような流れで行われます。

１．脅威モデリングとリスク評価

• 脅威の特定：最初に組織のリスクプロファイルを評価し、特定の脅威や攻撃者を選定します。これには、業界特有の脅威や過去の攻撃データ、業界でのトレンドを調査することが含まれます。例えば、競合他社からのスパイ行為、内部の悪意のある従業員、APT（高度な持続的脅威）攻撃者など。
• リスク評価：次に、選定された脅威に対して組織の脆弱性を評価し、どのリスクが最も重大であるかを決定します。この情報を基にテスト計画を策定します。

２．攻撃者のプロファイル作成

攻撃者のタイプを設定：どのような攻撃者を模倣するかを決定します。例えば、以下のようなプロファイルが考えられます。

• 外部攻撃者：外部からのハッカー、競合他社、サイバー犯罪者。
• 内部攻撃者：組織内の悪意のある従業員や協力者。
• APT（高度な持続的脅威）攻撃者：国家支援の攻撃者、資金と技術を持つ攻撃者。

攻撃者のリソースを評価：攻撃者が持っているリソース、技術、時間、スキルを想定し、それに合わせた攻撃シナリオを作成します。

３．攻撃シナリオの設計

• 脅威シナリオの策定：特定された脅威に基づいて、具体的な攻撃シナリオを設計します。これは、攻撃者がどのようにシステムに侵入し、どの経路を辿るかを想定したシナリオです。例えば、内部から攻撃者が不正にデータにアクセスする場合や、外部からフィッシング攻撃を行う場合などを想定します。
• 攻撃のステップを設計：攻撃者の戦術、技術、手法（TTPs: Tactics, Techniques, Procedures）を基にして、どのような手法で攻撃が行われるかを具体的に計画します。

４．ペネトレーションテストの実行

• 攻撃者の手法をシミュレート：攻撃者の視点でテストを実行し、設計された攻撃シナリオに基づいてシステムに侵入を試みます。この段階では、脆弱性を利用してアクセス権を取得したり、データを盗んだりします。攻撃者が用いる手法としては、ソーシャルエンジニアリング（フィッシングや電話攻撃）、マルウェアの利用、脆弱性のエクスプロイト（ゼロデイ攻撃など）などが考えられます。
• 攻撃の検出と回避：本物の攻撃が行われるより前に、システムやネットワークの脆弱性を見つけ出します。

５．成果物の収集と分析

• 攻撃結果の記録：実行した攻撃の結果を詳細に記録し、攻撃経路や利用した脆弱性を整理します。侵入が成功した場合、その過程や攻撃経路、使われたツールを記録します。
• 侵害の評価：侵入の成功度、組織の防御がどれだけ効果的だったかを評価します。また、攻撃者がアクセスした情報やシステムに関する影響も分析します。

６．レポートの作成

テスト結果のまとめ：テスト結果をレポートにまとめ、どの脆弱性が悪用されたか、侵入がどのように行われたかを詳細に記載します。

• 脆弱性の発見：攻撃が成功した脆弱性やシステムの弱点。
• リスク評価：組織にとってのリスクや影響の大きさ。
• 攻撃者の視点：攻撃者がどのようにシステムにアクセスしたかの経路。

改善案の提案：発見された脆弱性に対して、改善策や対策を提案します。具体的な提案としては、パッチの適用、セキュリティポリシーの強化、監視体制の構築などが挙げられます。

７．フォローアップと再評価

• 改善状況の確認：提案された改善策が実施されたかどうかを確認します。必要に応じて、再度テストを行い、防御が強化されているかをチェックします。
• 脅威環境の変化に対応：サイバー攻撃の手法は常に進化するため、新たな脅威に対応するための定期的な再評価が重要です。
  

脅威ベースペネトレーションテストの利点

脅威ベースペネトレーションテストは、実際の攻撃を模倣した形式で行われるため、より現実的な評価を得ることが期待できます。具体的には以下のような利点があります。

現実的な脅威に基づく評価：組織が最も直面する可能性が高い攻撃者や脅威に基づいたテストにより、より実際的で有用なセキュリティ評価を得ることができます。特に組織特有の脅威に対する防御能力を評価できるのが利点です。

防御力の向上、セキュリティポリシーの改善：脅威ベースで評価することにより、組織の防御能力が実際にどれだけ強いかを確認し、具体的な改善案を得ることができます。また、攻撃者の行動や侵入経路を詳細に分析することで、インシデント対応計画やリカバリープロセスを改善できます。

リスクに対する優先順位の明確化：組織にとって最も深刻なリスクが何であるかを理解し、セキュリティ対策を優先的に強化できます。このリスクには経済的なものや社会的な信用なども含めます。

法規制とコンプライアンスの支援： 特定の脅威に対応するためのテスト結果や改善策は、業界の規制やコンプライアンス要求（GDPR、PCI DSS、HIPAAなど）を満たすためにも有用です。脅威ベーステストを実施することで、規制当局に対して適切なセキュリティ対策を講じていることを証明できます。

脅威ベースペネトレーションテストと一般的なペネトレーションテストの違い

脅威ベースペネトレーションテストと一般的なペネトレーションテストの違いは、テストのアプローチと目的、焦点を当てる部分や範囲にあります。これらのテストは共通して脆弱性を発見し、セキュリティを強化することを目的としていますが、方法論においていくつかの違いがあります。以下にそれぞれの違いを詳しく説明します。

アプローチと目的

• 脅威ベースペネトレーションテスト：

  • 攻撃者視点に基づく：特定の脅威や攻撃者の視点からテストを実施します。特定の脅威シナリオに沿って、実際の攻撃者がどのようにシステムを攻撃するか、どの脆弱性を悪用するかを評価します。

• 一般的なペネトレーションテスト：

  • 広範囲な脆弱性のテスト：システムやネットワークに存在するすべての脆弱性を発見することを目的として、広範囲にわたる評価を行います。特定の脅威や攻撃者に焦点を当てるのではなく、単純にセキュリティ上の弱点を発見するために実施されます。

テストの焦点

• 脅威ベースペネトレーションテスト：

  • 特定の脅威に焦点を当てる：特定の攻撃者や脅威シナリオを基に実施します。攻撃者が実際に使用する可能性のある手法を模倣し、組織がこれらの攻撃にどの程度耐えられるかを評価します。

• 一般的なペネトレーションテスト：

  • 一般的な脆弱性のテスト：テストの焦点は、システム全体の脆弱性に向けられます。特定の攻撃者や脅威に依存せず、ネットワークやアプリケーションなど、あらゆる面で脆弱性を見つけ出すことを目的とします。

テストの範囲

• 脅威ベースペネトレーションテスト：

  • 特定の脅威シナリオに基づくテスト：特定の攻撃者や攻撃方法に基づいてテストが実施されるため、範囲が絞られることが一般的です。

• 一般的なペネトレーションテスト：

  • 広範囲なシステム評価：システム全体を対象に脆弱性を検出します。特定の脅威に基づいているわけではなく、システム、ネットワーク、アプリケーション、物理的なセキュリティにわたって広範囲にテストが行われます。

リスク対応の違い

• 脅威ベースペネトレーションテスト：

  • 攻撃者視点のリスク評価：組織が直面する可能性が最も高い脅威を前提に、リスク評価と防御策を強化します。特定の攻撃手法に対する対策が強化され、組織が実際の攻撃に耐える力を高めることができます。

• 一般的なペネトレーションテスト：

  • 広範な脆弱性の修正：システム全体で発見された脆弱性を修正します。攻撃者が利用する手法に依存せず、広範囲にわたるセキュリティ強化を行います。

成果物（レポート）の違い

• 脅威ベースペネトレーションテスト：

  • 脅威シナリオに基づいた具体的な報告：テスト結果は、特定の脅威に基づいて具体的に記述されます。具体的なシナリオに沿った脆弱性の指摘がなされ、対策案が提示されます。

• 一般的なペネトレーションテスト：

  • 広範な脆弱性リストと修正案：発見されたすべての脆弱性をリストアップし、それに対する修正案を提供します。反面、特定の脅威シナリオに焦点を当てることは少ないです。

脅威ベースペネトレーションテストは、特定の脅威に焦点を当て、攻撃者の視点からシステムのセキュリティを評価することで、実際の攻撃に備えるための有効な手段です。このアプローチにより、組織は現実的な攻撃シナリオに対する防御力を向上させ、リスクの高い脆弱性に優先的に対応することができます。

弊社へのお問い合わせは、下記の著者画像横のメールアイコンから