ページの本文へ

セキュリティ

TLPT(脅威ベースペネトレーション)を活用した企業のセキュリティ対策

巧妙化するサイバー攻撃に対し、もはや従来のぜい弱性診断だけでは十分な対策を採ることが難しくなってきました。そのような中、実際の攻撃手法をリアルに模倣する実戦的なテストである「TLPT(脅威主導型ペネトレーションテスト)」の導入が、金融機関や重要インフラ企業を中心に進んでいます。

そこでこの記事では、いま注目を集めるTLPTの仕組みから具体的な実施プロセス、導入によって得られる効果まで、網羅的に解説します。

  1. TLPTとは?
  2. なぜ今TLPTの導入が注目されているのか
  3. TLPTの実施プロセスと導入のポイント
  4. 企業のTLPT導入で得られる効果と注意点
  5. TLPTを活用して攻撃に強い組織を構築しましょう

TLPTとは?

はじめに、TLPTがどのような目的と考え方に基づいたテストなのかを解説します。次に、これまで一般的だったぜい弱性診断との違いや、TLPTならではの評価の特長について見ていきましょう。

TLPTの目的と基本的な考え方

TLPTは「Threat-Led Penetration Testing」の略称で、現実に発生しているサイバー攻撃を組織の環境で疑似的に再現し、セキュリティ対応能力を総合的に評価するテスト手法です。

単にシステムのぜい弱性を発見することが目的ではなく、攻撃者の戦術・技術・手順(TTP)に基づいたシナリオを用いて、人・組織・プロセスまで含めた組織全体のサイバーレジリエンス(防御・検知・復旧能力)を実戦形式で検証します。

TLPTは、既知の攻撃手法を用いながらも、組織が想定していない侵入経路や攻撃シナリオに対する防御能力を測定できる点が大きな特長です。

従来のぜい弱性診断との違いと評価の特長

従来のぜい弱性診断が事前に定めた範囲(スコープ)を対象とするのに対して、TLPTは攻撃者の視点に立った「シナリオベース」で実施される点が根本的に異なります。

そのため、評価対象は特定のシステムだけでなく、組織全体の対応プロセスにまで及び、技術的な弱点に加えて組織的な対応力も評価します。

APT攻撃(高度標的型攻撃)のように複数の侵入経路を組み合わせた攻撃を模倣することで、内部侵入後の防御能力など、より現実の脅威に近い状況での実効性を評価できる点も特長です。

なぜ今TLPTの導入が注目されているのか

ここでは、TLPTが注目される背景にある「サイバー攻撃の高度化」と「金融業界を中心とした導入の動き」という2つの側面から解説します。それぞれの具体的な状況を詳しく見ていきましょう。

高度化するサイバー攻撃と実戦的な防御力検証の必要性

APT攻撃(高度標的型攻撃)は、従来は国家が支援する高度なハッカー集団による攻撃手法でしたが、近年では攻撃ツールの入手が容易になりました。より多様な攻撃者が類似の手法を用いるようになっています。

高度な攻撃手法が広範囲に拡散し、組織が直面する脅威の幅が広がっています。そのため、従来の境界型防御だけでは、標的型メールや内部侵入後の横展開といった段階的かつ複合的な攻撃プロセスに対抗することが困難な状況です。

こうした背景から、既知のぜい弱性への対策だけでなく、未知の攻撃や内部不正といった、より現実に即したシナリオを想定した、実戦的な防御力の検証が不可欠となっています。

金融やインフラ業界を中心に広がる導入の動き

金融庁はサイバーレジリエンス強化の一環としてTLPTを積極的に推進しており、2023年度には銀行におけるTLPTの事例収集と好事例の共有を開始しました。さらに2024年度には、地域金融機関などを対象に実証事業を行い、導入の障壁を下げる取り組みを進めています。

大手金融機関で導入が進む一方で、地域金融機関への普及が課題です。共通の脅威情報を共有する仕組みの構築も進められており、このような動きは金融以外の業種にも広がりつつあります。

TLPTの実施プロセスと導入のポイント

TLPTを成功させるための具体的な実施プロセスと、導入のポイントを「連携体制」と「仕組みづくり」の2つの側面に分けて解説します。

シナリオ設計とレッドチーム/ブルーチームの連携体制

TLPTは、攻撃役の「レッドチーム」、防御役の「ブルーチーム」、全体を統括・評価する「ホワイトチーム」の3チーム体制で実施されます。

成功の鍵は、自社固有の脅威インテリジェンスを反映させたリアルなシナリオを設計し、ホワイトチームの判断のもと、より正確な評価につながる事前予告なしのテストを実施することです。

テストシナリオは、サイバーキルチェーンに沿って攻撃プロセスを段階的に分解して設計し、外部からの攻撃だけでなく内部不正や物理的侵入といった組織固有の脅威も考慮します。

テスト結果の分析と改善につなげる仕組みづくり

テストで明らかになった防御・検知・復旧能力の評価結果や重要なリスクは、経営層へ適切に報告し、具体的な改善計画へとつなげることが重要です。

このプロセスを通じて、境界防御だけでなく内部セグメント間の防御力といった多層防御の実効性を検証し、組織全体のセキュリティ強化を図ります。

企業のTLPT導入で得られる効果と注意点

TLPTの導入は、企業に多くのメリットをもたらしますが、同時に留意すべき点も存在します。

リスク可視化と意思決定の支援

TLPTを導入する最大の効果は、実際に起こり得る攻撃シナリオに対する、自社の攻撃耐性を把握できる点です。

技術的なぜい弱性だけでなく、人や組織、プロセスといった多角的な観点から弱点を可視化し、組織全体のサイバーレジリエンスを客観的に測定します。

この結果は、経営層がサイバーセキュリティリスクを正しく理解し、的確な投資判断を下すための強力な支援材料となります。

現場で起こりやすい課題と導入を成功に導くポイント

TLPTのよくある課題として、次のようなものが挙げられます。

・一般的な脅威情報に頼りすぎて自社固有のリスクを考慮したシナリオになっていない
・防御側にテストを事前予告してしまい、正確な対応能力を評価できない

TLPTの導入を成功に導くには、これらの課題を解決する必要があります。自社固有の脅威を分析したシナリオ設計や、予告なしのテスト実施、テスト結果から得られた重要なリスクを経営層へ適切に報告するプロセスが不可欠です。

TLPTを活用して攻撃に強い組織を構築しましょう

TLPTは、高度化・巧妙化するサイバー攻撃に対して、組織全体のサイバーレジリエンスを実戦的に検証する有効な手法です。従来のぜい弱性診断では見落としがちな、攻撃者視点での侵入経路や組織的対応力の弱点を明らかにし、継続的な改善サイクルを構築できます。

実効性のあるTLPT実施には、専門的な知識と経験を持つパートナーの支援が不可欠です。日立ソリューションズ・クリエイトでは、ホワイトハットハッカーによる高度なセキュリティ診断サービスを提供しており、ペネトレーションテストを含む総合的なセキュリティ評価をサポートしています。攻撃者目線での疑似攻撃から組織的対応力の検証まで、実戦的なセキュリティ強化をお考えの際は、ぜひご相談ください。

参考:情報処理推進機構(IPA)「脅威インテリジェンス 導入・運用ガイドライン

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら