浸入テスト

レッドチームは大義のためなら倫理を無視してもいいが自分がされるのは嫌だと考えている

次の記事

「必要最小限の製品」ではなく「必要最小限の要素を満たす」会社を目指そう

朝起きて、朝食を用意して、子どもたちを学校に送って、車で出勤して、最高財務責任者の受信ボックスに浸入して、全社員の納税記録を盗み出す。そしてようやく、通を渡ってベーグルを買う。

「レッドチーム」、つまり攻撃的セキュリティー研究者にとって、それは普段と変わらない日常だ。

こうした攻撃的セキュリティ−・チームは、高度な技術を持つハッカーたちで構成され、企業内のシステムの弱点を見つけ出す権限を与えられている。内部から自社にハッキングすることで、実際に将来起こりうる攻撃に備える防衛力強化の要点を把握できる。だが、ハッカーたちがターゲットを操るために用いるソーシャル・エンジニアリングでは、ターゲットに深刻な影響を与える恐れがある。レッドチームの活動は許可に基づくものであり合法だとは言え、特定の攻撃や活動の倫理に関しては考慮されないことがある。

セキュリティーへの攻撃的な関与に伴う倫理に注目した、最新の調査がある。フィッシングメールを出したり、受付係に賄賂を渡したり、誰かのコンピューターに不名誉な書類を紛れ込ませるといった行為は、純粋にデータ漏洩を防ぐという名目のもとなら、倫理的に許されるのか?

調査は、レッドチームなどセキュリティーの専門家や事故対応の担当者は、他者に対する特定種類のハッキング行為の場合、自分たちに向けられたものに比べて許容しやすい傾向を示した。

この調査は、セキュリティー関連とそうでない部署で働く500名以上の人たちに対して実施され、先週末にワシントンD.C.で開催されたハッカーのカンファレンスShmoocon 2020で初めて発表された。その結果、法務、人事、受付など、セキュリティーとは無縁の専門職の人々は、レッドチームが仕事として送ってくるフィッシングメールへの拒否感が、レッドチームや事故対応担当者などセキュリティーの専門家に比べて、9倍も強いことがわかった。

この結果が、社内の浸入テストに際して、レッドチームの活動が会社のモラルにどう影響するかを考えるきっかけになればと彼らは期待している。また、レッドチームの行動基準の限界についても、企業に理解してほしいと願っている。

「レッドチームのメンバーは、ターゲットも彼らと同じ人間であるという事実を突きつけられると、自分もターゲットになり得ることを実感し、セキュリティーテストのためなら他人に何をしてもいいという考え方が劇的に変化します」と、ポリシーシンクタンクNew Americaのサイバーセキュリティー・フェローであり、今回の調査報告書の共同著者でもあるTarah Wheeler(タラ・ウィーラー)氏は言う。

調査では、フィッシングメール、賄賂、脅し、なりすましなど、攻撃的セキュリティーテストの手法の許容範囲について質問をした。回答者には、2種類のアンケートがランダムに配られた。どちらも質問内容は基本的に同じだが、ひとつだけ双方で異なる質問が書かれていた。片方には、こうした活動を許容できるかという質問、もう片方には、自分がその対象になったときに許容できるかという質問だ。

その結果、セキュリティーの専門家は、フィッシングメールや不名誉な書類を紛れ込ませるなどの行為が自分に対して行われることを嫌う割合が、4倍も高かった。

「人は公平になるのが下手なのです」とウィーラー氏。

この調査は、レッドチームの業務の一環としての活動が大きく注目され始めた時期に発表された。先週、サイバーセキュリティーのアドバイザーのCoalfireに勤務する2人のレッドチーム研究者が、レッドチームの業務でアイオワ州の裁判所に侵入したことで起訴され、後に取り下げられるという事件があった。彼らはセキュリティー強化を進めるアイオワ州の裁判所に雇われ、その許可のもと、裁判所の建物とコンピューターネットワークの脆弱性を探す仕事に就いていた。ところが地元の保安官が彼らを逮捕し、認可された活動であることを示す詳細な「免罪符」書簡を提示したにもかかわらず、彼らを咎めた。この事件は、セキュリティー界では一様に大きなバッシングを受けているが、セキュリティー侵入テストとレッドチームが活動する世界を垣間見る貴重な機会となった。

またこの調査により、世界の地域によって、セキュリティーのプロたちが嫌悪感を抱くテストに違いがあることも判明した。たとえば、中南米のセキュリティー専門家は、不名誉な書類の混入に強い反感を覚え、中東とアフリカの専門家たちは、賄賂や脅しに強い反感を覚えるという。

報告書の著者たちは、これはレッドチームは攻撃的セキュリティー活動の特定の手法を使うなという話ではないと言っている。レッドチームがターゲット、つまり会社の同僚を含む人たちに与える影響について意識しろと訴えているのだ。

「レッドチームを発足して、ターゲットのスコーピングを行うときは、同僚や顧客へのインパクトをよく考えてください」と、セキュリティー会社であるFortalice Solutionsのセキュリティーエンジニアリングおよびオペレーション責任者であり、この報告書の執筆にも加わったRoy Iversen(ロイ・アイバーセン)氏は言う。アイバーセン氏は、今回の発見は、会社内部のレッドチームと多数の従業員との間の摩擦を避けたい企業が、外部のレッドチームへの業務委託を検討する手助けになると話している。

研究者たちは、来年にかけて調査の範囲を広げ、より多くのアンケートを実施することで、回答者のデモグラフィックを掘り下げて、研究の精度を高める計画を立てている。

「現在進行中のプロジェクトなのです」とウィーラー氏は話していた。

関連記事:あなたのスタートアップは内部からの脅威に備えているか?(未訳)

画像クレジット:Sestovic  / Getty Images

[原文へ]

(翻訳:金井哲夫)