Purple Team

パープルチーム（Purple Team）とは、攻撃側のレッドチーム（Red Team）と防御側のブルーチーム（Blue Team）が協力して組織のセキュリティ態勢を改善するアプローチです。レッドチームの攻撃技術とブルーチームの防御・検知能力を融合させ、実際の攻撃シナリオに基づいて検知ギャップの発見と改善を繰り返し行うことで、セキュリティ態勢の継続的な強化を実現します。

従来のレッドチーム演習では、攻撃チームと防御チームが独立して活動し、演習終了後にレポートを共有するという形式が一般的でした。しかし、この方式では攻撃の手法や検知回避のテクニックがリアルタイムで共有されず、防御側の改善が遅れるという課題がありました。パープルチームアプローチでは、攻撃と防御の両チームが同時進行でコミュニケーションを取りながら演習を実施し、即座に検知ルールの改善や対応手順の最適化を行います。

特にMITRE ATT&CKフレームワークを活用したパープルチーム演習が広く普及しており、ATT&CKマトリクスの各テクニックに対して組織の検知・対応能力を体系的に評価・改善することが可能です。これにより、理論的な脅威モデリングではなく、実践的かつ測定可能なセキュリティ改善を実現します。

パープルチームの方法論

パープルチーム演習は、一般的に以下のサイクルで実施されます。まず、脅威インテリジェンスに基づいて組織にとって最も関連性の高い攻撃シナリオを選定します。次に、レッドチームが選定された攻撃テクニックを実行し、ブルーチームがリアルタイムで検知・対応を試みます。攻撃の成否と検知状況を即座に共有し、検知できなかった場合は原因を分析して検知ルールや対応手順を改善します。

このサイクルをテクニックごとに反復することで、組織の検知カバレッジを体系的に拡大していきます。重要なのは、パープルチームが恒常的な活動であり、一度きりの演習ではないという点です。脅威の進化に合わせて継続的に実施し、検知能力を常に最新の状態に保つ必要があります。

レッドチームとブルーチームの連携モデル

パープルチームの連携モデルには複数のアプローチがあります。統合型モデルでは、攻撃と防御の専門家が一つのチームとして活動し、演習計画の策定から実行、改善までを共同で行います。協調型モデルでは、レッドチームとブルーチームは別組織として存在しつつ、パープルチームのコーディネーターが両者の連携を促進します。

いずれのモデルでも重要なのは、心理的安全性の確保です。ブルーチームが攻撃を検知できなかったことを責めるのではなく、改善の機会として捉える文化を醸成することが、パープルチーム活動の成功の鍵となります。検知の失敗は組織の弱点を発見した成果として評価されるべきです。

MITRE ATT&CKを活用した演習

MITRE ATT&CKフレームワークは、パープルチーム演習の計画と評価に不可欠なツールです。ATT&CKマトリクスは、実際の攻撃グループが使用する戦術（Tactics）とテクニック（Techniques）を体系化しており、初期アクセス、実行、永続化、権限昇格、防御回避、認証情報アクセス、探索、横展開、収集、持ち出し、影響の各段階をカバーしています。

パープルチーム演習では、ATT&CKマトリクスのテクニックを一つずつ実行し、各テクニックに対する検知カバレッジを「検知可能」「部分的に検知可能」「検知不可能」に分類してヒートマップを作成します。このヒートマップにより、組織のセキュリティ態勢の強みと弱みを視覚的に把握し、優先的に改善すべき領域を特定できます。

検知ギャップ分析

検知ギャップ分析は、パープルチーム活動の中核をなすプロセスです。レッドチームが攻撃を実行した際にブルーチームが検知できなかった場合、その原因を詳細に分析します。検知できなかった原因は、ログが収集されていない、検知ルールが存在しない、検知ルールの条件が不適切、アラートが発生したが見逃された、など多岐にわたります。

各ギャップに対して、ログ収集の追加、新規検知ルールの作成、既存ルールのチューニング、トリアージプロセスの改善など、具体的な改善策を策定し実行します。改善後に同じ攻撃テクニックを再実行して検知できることを確認するバリデーションまで行うことが重要です。

アトミックレッドチーム（Atomic Red Team）

Atomic Red Teamは、MITRE ATT&CKのテクニックごとに小さな単位（アトミックテスト）で攻撃を再現するオープンソースのテストフレームワークです。パープルチーム演習においては、複雑な攻撃シナリオ全体を一度に実行するのではなく、個々のテクニックを独立してテストできるため、検知ルールの検証に非常に有効です。

各アトミックテストには、実行手順、前提条件、クリーンアップ手順が含まれており、安全に攻撃テクニックを再現できます。テストの自動実行と検知結果の自動確認を組み合わせることで、定期的な検知カバレッジのバリデーションを効率化できます。

継続的改善サイクル

パープルチームの真価は、継続的改善サイクルを確立することにあります。脅威インテリジェンスの更新に基づいて新たな攻撃テクニックを演習に追加し、検知ルールを継続的に進化させます。また、新しいセキュリティツールの導入や環境の変更（クラウド移行、新規システム導入など）に合わせて、検知カバレッジの再評価を実施します。

成熟したパープルチーム活動では、年間計画に基づいて優先テクニックの演習スケジュールを策定し、四半期ごとにATT&CKヒートマップの更新と経営層への報告を行います。これにより、セキュリティ投資の効果を定量的に示すことが可能になります。

• 01
  MITRE ATT&CKベースの演習計画策定：脅威インテリジェンスに基づき、組織に関連性の高い攻撃テクニックを優先的に選定してパープルチーム演習計画を策定してください。業界特有の脅威アクターが使用するテクニックに重点を置き、ATT&CKマトリクスのカバレッジ拡大を計画的に進めましょう。
• 02
  検知カバレッジのヒートマップ管理：ATT&CKマトリクスの各テクニックに対する検知能力をヒートマップ形式で可視化し、定期的に更新してください。検知不可能な領域を明確にし、リスクベースで改善優先度を設定しましょう。
• 03
  検知ルールのバリデーション自動化：Atomic Red Teamなどのテストフレームワークを活用し、検知ルールの有効性を定期的に自動検証してください。環境変更やツール更新後には必ずバリデーションを実施し、検知の退行（Detection Regression）を防ぎましょう。
• 04
  攻防双方の心理的安全性確保：パープルチーム演習では、検知の失敗を責めるのではなく改善の機会として捉える文化を醸成してください。ブルーチームが安心して弱点を報告でき、レッドチームが遠慮なく攻撃テクニックを共有できる環境を整備しましょう。
• 05
  演習結果の文書化と知識ベース構築：各演習で発見された検知ギャップ、実施した改善策、バリデーション結果を体系的に文書化し、組織の知識ベースとして蓄積してください。過去の演習結果を参照可能にすることで、ナレッジの属人化を防ぎます。
• 06
  経営層への定量的報告体制の確立：ATT&CKカバレッジ率の推移、検知ギャップの改善状況、演習から検知改善までのリードタイムなどの指標を定期的に経営層に報告し、セキュリティ投資の効果と残存リスクを可視化してください。