オフィスを閉鎖すると、一部の攻撃ベクトルは遮断されますが、リモートワークによって膨大な攻撃ベクトルが新たに生じます。レッドチームによる評価が今こそ欠かせない理由はここにあります。
レッドチームでは、ホワイトハッカーのグループを採用し、実際の悪意のある攻撃者が組織を侵害するために利用可能なあらゆる手段(対面、電話、オンライン)をどのように利用するかを実証します。
目的は、組織が脆弱性を特定し、封じ込めるための支援をすることです。
レッドチームは効果的であることが証明されているため、高い評価を受けています。しかし現在は健康危機の最中にあり、すべてを自宅で行う新しい環境の中にあります。これは組織のアタックサーフェスが変化し、指数関数的に拡大していることを意味します。多くの企業は、数十のオフィスから数千ものホームオフィスへと数が増えました。
そのため、これまでどれほど成功していたとしても、レッドチームモデルも、また変更する必要が生じています。
シノプシスのプリンシパル・コンサルタント兼レッドチーム・プラクティスのリーダーであるThomas Richardsによれば、この危機は「多くの企業はリモートにいる従業員がビジネスを継続できるように、準備のしていなかった方向、つまりリモートワークへの突然かつ劇的な変化」を遂げたと語りました。
ひとつの際立った例として、Richardsは、彼が知っているあるグローバル企業は「ノートパソコン数千台を購入しなければなりませんでした。オフィスでデスクトップを使用していた従業員全員が在宅勤務に移行する必要が生じ、その支援のためにノートパソコンの調達が必要でした。」と言います。
「そのサプライチェーンを考えてみてください。」とRichardsは言います。「2か月前に中国が封鎖されたことによって、電子機器メーカーはサプライチェーンの問題を抱えていました。今、これらすべての企業がパレット単位でノートパソコンを大急ぎで注文していますが、それを実現できる方法がありません。」
それに加え、ノートパソコンを調達し、リモートワークの従業員に支給するだけでは済まない様々な課題が現実として待っています。「ノートパソコンの設定とそれに関連するポリシーの作成にも忙殺されます。」とRichardsは言います。
「多くの企業はリモートまたはVPNでの社内システムへのアクセスを許可するようにはしていませんでした。既設のVPNでは受信負荷に対応することすらできないかもしれません。」とRichardsは言います。
「このような制御の利かない状況下では、悪意のある攻撃者によるシステムへのアクセスを防ぐための技術的な対策とトレーニングを確実に実施するために、レッドチームがより一層不可欠です。」
アタックサーフェスの拡大はさまざまな面で明らかだとRichardsは言います。以下に注意すべき領域をいくつか挙げます。
ヘルプデスクのスタッフは、ネットワーク、データ、アプリケーションなどへのアクセスを必要とする従業員をサポートするためのトレーニングを受けています。ところが現在は、サポートしようとする本来の気持ちを抑えて、問い合わせてくる人を疑う必要が生じています。
「これまでに設定されていたセキュリティ対策やチェックは、誰かに仕事が続けられないと言われれば、間違いなくバイパスされることになります。」とRichardsは言います。「そして1つの不適切な構成を誰かが見つけるだけで弱点は露呈します。あるいは、誰かがヘルプデスクに問い合わせて『アクセスできない』と言えば、ヘルプデスクの人はおそらく対応するでしょう。それは従業員全員が現に行なっていることなのですから。」
「誰もが先を争ってサポートを求めてくるので、おそらく以前よりも本人確認にかかる時間は少ないでしょう。」
「誰もがクラウドに移行する中で、組織はクラウド資産の管理・運営部分へのアクセスをおそらく社内IPに制限してきました。」とRichardsは言います。「しかし、現在は、企業のVPNが過負荷状態になれば、自宅のIPにもアクセスを許可する可能性があります。あるいは、何らかの形の認証や鍵が必要な部分だけに制限を縮小するでしょう。」
「このようにセキュリティ対策を縮小すれば、不正な攻撃者をアタックサーフェスに一歩近付ける、あるいは足がかりを与えることになる可能性もあります。」
かつて、境界はファイアウォールなどによって定義されていました。しかし、近年はクラウドへの移行とBYOD(個人所有の端末の持ち込み)の急速な拡大で境界があいまいになっています。最近の状況を見ると、境界は完全に瓦解しています。
「もはや境界は存在しません。」とRichardsは言い、多くの要因が重なって、「潜在的な悪意のあるアクター(行為者)による不正行為がさらに横行し始める壊滅状態」になると指摘しました。
さらにRichardsはこうも言います。レッドチームは「今、リードタイムなしで直ちに行わなければならないこれらの突然の変化のすべてについて、速やかに組織と話し合いを始める必要があります。この状況は手抜きにもつながります。」
面倒な点を明確にし、手抜きをしないようにするために組織がやるべきことは?
Richardsは、組織は今までと同じ基本的手順に従うべきだが、同時に現在の実情に適応する必要があると言います。その手順の内容を以下に示します。
机上演習は、「実際に攻撃が行われるとどうなるかを確認するために」緊急事態をシミュレーションして議論する会議なのです。とRichardsは言います。その目的は、攻撃がどのように行われるかを想定し、組織がどのような防御や対応を行っているかを確認することです。まだ机上演習を行ったことがない場合は、今こそ、従業員がオフィスではなく自宅で仕事をするシナリオを実行する絶好の時期です。
脅威モデリングは観察とインタビューに基づいています。チームは「システムとその展開方法、その他組織が展開を計画しているものを調べ、設計とセットアップに関する多くの質問をして、それがどのように悪用されるか、またはどこに構成ミスが生じる可能性があるかを確認します。」
「チームはそこからレポートを作成します。」とRichardsは言います。「すべて書類上で、実際に触れることなくシステムをどのように認識するかについて推奨事項を提供します。」
脅威モデルは3番目の評価要素の準備として適しています。
「これは、このようなすべての混乱の中でレッドチームに侵入を試させるものです。」とRichardsは言います。「もちろん、今は誰も出張しないので、バーチャルで行われます。」
「しかし、目的は、ヘルプデスクをテストすることです。会社のエンドポイントをテストして、第三者にアクセスされる可能性がある認証情報の侵害がないかどうかを確認することです。」
「今、これらのすべての活動は非常に重要であり、これらの3つの活動は、この突然の変化の中で現在企業に存在する可能性があるリスクを特定するのに役立つはずです。」
しかし、レッドチームによる評価をリモートで行う必要があるということからは、現状のオフィス閉鎖からの希望の光、すなわち物理セキュリティの向上を示唆しています。ほとんど誰もオフィスに行かないので、侵入しようとしている人を見つけることは比較的簡単です。攻撃者は、午後の昼食から戻ってくる従業員の長い行列の後に「テールゲート」することはできません。
「今そんなことをすれば、間違いなく疑われる可能性が濃くなるでしょう」とRichardsは言います。「誰かがオフィスに現れた場合、最初の質問は『あなたは一体誰で、なぜここにいるのか』ということです。」