BAS

BAS（Breach and Attack Simulation）とは、実際のサイバー攻撃を自動的にシミュレートし、組織のセキュリティ防御態勢が攻撃に対してどの程度有効に機能しているかを継続的に検証するテクノロジーです。従来の年1回のペネトレーションテストやレッドチーム演習に代わり、BASは24時間365日、自動化された攻撃シナリオを安全に実行し、セキュリティ制御の有効性をリアルタイムで可視化します。

BASプラットフォームは、MITRE ATT&CKフレームワークに基づいた数千種類の攻撃テクニックをライブラリとして保有し、フィッシングメールの配信、マルウェアのダウンロード・実行、ラテラルムーブメント、データの持ち出しなど、キルチェーン全体にわたる攻撃をシミュレートします。各シミュレーションの結果、ファイアウォール、IDS/IPS、EDR、SIEM、メールゲートウェイなどのセキュリティ制御が攻撃を検知・ブロックできたかどうかを自動的に評価します。

BASが登場した背景には、セキュリティツールを導入しても「本当に攻撃を防げるのか？」という疑問に答えられない状況がありました。設定ミス、ルールの不備、製品間の連携不全などにより、想定通りに機能していないセキュリティ制御は少なくありません。BASはこの「検証のギャップ」を埋め、エビデンスに基づいたセキュリティ態勢の改善を可能にする技術です。

自動レッドチーミング

自動レッドチーミングは、従来の手動レッドチーム演習を自動化したBASの中核機能です。専門のレッドチーマーが手動で実施していた攻撃テクニック（偵察、初期侵入、権限昇格、永続化、データ窃取など）を、BASプラットフォーム上のエージェントが自動的に再現します。これにより、レッドチーム演習の頻度を大幅に向上させ、防御態勢の変化をリアルタイムで追跡できます。

自動レッドチーミングは人的リソースの制約を克服し、広範な攻撃テクニックを網羅的にテストできる点が強みです。ただし、高度な判断やクリエイティブな攻撃手法は人間のレッドチーマーにしかできないため、BASは手動のレッドチーム演習を完全に置き換えるものではなく、補完するものとして位置づけられます。

MITRE ATT&CKシミュレーション

MITRE ATT&CKフレームワークは、実際の攻撃者が使用する戦術（Tactics）・技術（Techniques）・手順（Procedures）を体系化したナレッジベースです。BASプラットフォームは、ATT&CKの各テクニック（T1059:コマンドラインインターフェース、T1055:プロセスインジェクション、T1486:データ暗号化による影響など）を個別にシミュレートし、各テクニックに対する防御の有効性を評価します。

シミュレーション結果はATT&CKマトリクス上にマッピングされ、組織の防御カバレッジを視覚的に把握できます。「検知できた」「ブロックできた」「見逃した」の3段階で色分け表示され、防御の弱点（ギャップ）が一目で分かります。この可視化により、セキュリティ投資の優先順位付けが容易になります。

継続的バリデーション（Continuous Validation）

継続的バリデーションは、セキュリティ制御の有効性を定期的・自動的に検証するBASの運用モデルです。従来のポイントインタイム評価（年1回のペネトレーションテスト）では、テスト後のインフラ変更やルール変更によりセキュリティ態勢が劣化しても気づくことができませんでした。

BASによる継続的バリデーションでは、セキュリティルールの変更、インフラの変更、新たな脆弱性の公開などのイベントに応じて自動的にシミュレーションを実行し、防御態勢への影響を即座に評価します。例えば、ファイアウォールルールの変更後に自動的に攻撃シミュレーションを実行し、その変更が防御にギャップを生んでいないかを確認するといった運用が可能です。

BASプラットフォーム（AttackIQ、SafeBreach等）

主要なBASプラットフォームとして、AttackIQ、SafeBreach、Cymulate、Picus Security、XM Cyberなどが市場で広く利用されています。AttackIQはMITRE ATT&CKとの緊密な連携で知られ、MITRE Engenuityのパートナーとしてテスト結果の標準化を推進しています。SafeBreachは大規模なハッカーズプレイブック（攻撃シナリオライブラリ）を保有し、最新の攻撃手法を迅速にシミュレーションに追加します。

各プラットフォームは、ネットワーク内にエージェントを配置し、エージェント間で攻撃トラフィックを生成・受信することでシミュレーションを実行します。シミュレーションは本番環境に影響を与えないよう設計されており、実際のマルウェアではなく安全なシミュレーション用ペイロードを使用します。結果はダッシュボードに集約され、リスクスコアや改善推奨事項が自動生成されます。

パープルチーム統合

パープルチームは、攻撃側（レッドチーム）と防御側（ブルーチーム）が協調して防御態勢を改善する手法であり、BASはパープルチーム活動の効率化と自動化を支援する重要なツールです。BASプラットフォームが攻撃をシミュレートし、ブルーチームがその検知・対応状況をリアルタイムで確認するというパープルチームのワークフローを自動化します。

具体的には、BASが特定のATT&CKテクニックをシミュレートした後、SIEMのログを確認して適切なアラートが生成されたか、EDRが攻撃プロセスをブロックしたか、SOARのプレイブックが正しくトリガーされたかを自動的に検証します。検知に失敗した場合は、ブルーチームに対して必要な検知ルール、シグネチャ、IOC（侵害の痕跡）が具体的に提示され、防御の改善サイクルを加速します。

攻撃シミュレーションの安全性

BASプラットフォームは本番環境で実行されるため、安全性の確保は最重要事項です。シミュレーションには実際のマルウェアは使用されず、攻撃の「振る舞い」のみを再現する安全なペイロードが使用されます。例えば、ランサムウェアのシミュレーションでは、ファイル暗号化の動作を模倣しますが実際には暗号化は行わず、EDRやアンチウイルスが暗号化の試みを検知できるかのみをテストします。

また、シミュレーションの実行範囲、対象システム、実行時間帯を細かく制御でき、業務への影響を最小限に抑える設計になっています。テスト結果とシミュレーションの痕跡は自動的にクリーンアップされ、セキュリティチーム以外への影響が発生しないよう管理されます。

• 01
  MITRE ATT&CKベースのカバレッジ評価の実施：BASプラットフォームを導入し、MITRE ATT&CKフレームワークの主要なテクニックに対する防御カバレッジを定期的に評価してください。ATT&CKマトリクス上の検知ギャップを特定し、優先順位をつけて改善計画を策定しましょう。
• 02
  継続的なセキュリティバリデーションの自動化：インフラ変更、セキュリティルール変更、パッチ適用後に自動的にBASシミュレーションが実行されるよう、CI/CDパイプラインとBASを統合してください。変更が防御態勢に悪影響を与えていないかを即座に検証する体制を構築しましょう。
• 03
  キルチェーン全体にわたるシミュレーション：個別のテクニックだけでなく、初期侵入からデータ窃取までのキルチェーン全体を通したシナリオベースのシミュレーションを定期的に実行してください。実際のAPTグループのTTPを再現した攻撃キャンペーンシミュレーションにより、多層防御の有効性を包括的に検証しましょう。
• 04
  BAS結果に基づく検知ルールの継続的改善：BASで検知に失敗したテクニックに対して、SIEMの検知ルール、EDRのカスタムルール、NDRのシグネチャを追加・調整してください。改善後に再度シミュレーションを実行し、修正が有効であることを確認するフィードバックループを確立しましょう。
• 05
  パープルチーム演習の定期的な実施：BASの結果を活用して、レッドチームとブルーチームが協調するパープルチーム演習を月次で実施してください。BASが自動で検出した防御ギャップを手動の演習で深掘りし、自動シミュレーションだけではカバーしきれない高度な攻撃シナリオの検証を行いましょう。
• 06
  経営層向けセキュリティ態勢レポートの自動生成：BASの評価結果から、リスクスコア、防御カバレッジ率、前回評価からの改善度などを含む経営層向けのレポートを自動生成してください。定量的なデータに基づいてセキュリティ投資の効果を示し、追加投資の判断材料を提供しましょう。