レッドチームとは

個々の脆弱性自体は些細に見えても、攻撃の経路の中で組み合わせたとき、重大な損害をもたらす可能性があります。

レッドチームは、セキュリティの1つの側面または狭い範囲に焦点を当てる従来のペネトレーション・テストでは見逃される組織のリスクを明らかにします。レッドチームでは、従来のテストにとどまらず一般的に以下のような点について評価を行います。

• 電子メールや電話によるソーシャル・エンジニアリング。個人や組織を簡単に調査しただけで、フィッシング・メールの説得力ははるかに大きくなります。この簡単にできる手法が、しばしばゴールに結びつく複合アタックの第一歩になります。
• ネットワーク・サービスのエクスプロイト。攻撃者はパッチを適用していないか、あるいは構成に問題があるネットワーク・サービスを悪用（エクスプロイト）して、以前にアクセスできなかったネットワークや重要情報にアクセスできるようになる可能性があります。多くの場合、攻撃者は将来アクセスが必要な場合に備えて、永続的なバックドアを残します。
• 物理的な施設のエクスプロイト。人は本来、対立を避ける傾向があるため、多くの場合、セキュリティで保護された施設でも、誰かの後に続いてドアを通り抜けるなどの簡単な方法で入り込むことができます。バッジをスキャンしていない人のためにドアを開けたまま待ってあげたのはいつが最後ですか？
• アプリケーション層のエクスプロイト。組織のネットワーク境界を見たときに攻撃者が最初に目にするものは、多くの場合、Webアプリケーションです。Webアプリケーション脆弱性のエクスプロイト（クロスサイト・スクリプティング（XSS）、SQLインジェクション、クロスサイト・リクエスト・フォージェリ（CSRF）など）により、攻撃者はさらなる攻撃を実行するための足がかりを得ることができます。

レッドチームによる評価は、それぞれ異なる組織要素に対応しますが、必ず事前調査、列挙、攻撃が含まれます。レッドチームによる評価を実施する前に、組織の主要なステークホルダーに相談して懸念事項を把握してください。今後の評価の目標を定める際に検討すべき質問事項を以下に示します。

1. 評判や収益に関わる重大な損害（顧客の重要データの漏洩や長期間のサービス停止）が引き起こされると、組織にどのような影響があるか？
2. 組織全体で使用する共通インフラストラクチャは何か（ハードウェアとソフトウェアの両方を考慮する）？ 言い換えると、すべてが依存している共通コンポーネントはあるか？
3. 組織全体で特に価値の高い資産（データおよびシステム）は何か、またそれが侵害された場合にどのような影響があるか？