Vulnerability Management

Red Team Exercise

レッドチーム演習

Category: Vulnerability Management / Updated: 2026-05-26

📖

Overview

レッドチーム演習(Red Team Exercise)とは、組織のセキュリティ態勢を実践的に評価するため、専門の攻撃チーム(レッドチーム)が実際の攻撃者の視点・手法を用いて、物理・ネットワーク・人的要素を含む多角的な侵入シミュレーションを行う高度なセキュリティ評価手法です。単なる脆弱性発見にとどまらず、組織全体の検知・対応能力を包括的にテストします。

レッドチーム演習は、軍事分野で敵役を演じる「レッドチーム」の概念に由来しています。サイバーセキュリティにおいては、MITRE ATT&CKフレームワーク等に基づき、初期侵入・横展開・権限昇格・データ窃取といった一連の攻撃チェーンを再現します。防御側(ブルーチーム)の検知能力やインシデント対応プロセスの実効性を、実戦さながらの環境で検証できる点が最大の特徴です。

通常のペネトレーションテストとの最大の違いは、レッドチーム演習がスコープを限定せず、ソーシャルエンジニアリングや物理的侵入を含むあらゆる攻撃ベクトルを対象とする点です。また、演習の存在を防御チームに事前通知しない「ブラインド演習」形式を取ることで、より現実に近い評価が可能になります。近年では金融機関を中心にTLPT(Threat-Led Penetration Testing)として制度化が進んでいます。

🔬

Details

レッドチーム・ブルーチーム・パープルチーム

レッドチームは攻撃側として組織の防御を突破することを目指し、ブルーチームは防御側として攻撃の検知・対応を行います。近年では両者が協力して改善を図るパープルチームの概念も広まっています。パープルチーミングでは、レッドチームが攻撃手法を共有し、ブルーチームが検知ルールを改善するというサイクルを短期間で繰り返すことで、組織のセキュリティ成熟度を効率的に向上させます。

演習の計画と実施フェーズ

レッドチーム演習は通常、以下のフェーズで実施されます。まずスコーピングフェーズでは、演習の目的・対象範囲・ルール・禁止事項(ROE: Rules of Engagement)を定義します。次に偵察フェーズでOSINT(公開情報調査)を通じて組織の攻撃対象面を調査します。

攻撃実行フェーズでは、フィッシング・水飲み場攻撃・物理侵入等の手法を組み合わせて初期侵入を試み、成功後は横展開権限昇格を行いながら最終目標(重要データへのアクセス等)の達成を目指します。最後の報告フェーズで発見事項を分析し、具体的な改善提案を含む報告書を作成します。

MITRE ATT&CKフレームワークとの連携

レッドチーム演習ではMITRE ATT&CKマトリックスが事実上の標準フレームワークとして活用されています。ATT&CKは実際の攻撃者が使用する戦術(Tactics)・技術(Techniques)・手順(Procedures)を体系的にまとめたナレッジベースであり、演習の攻撃シナリオ設計や結果の報告において共通言語として機能します。

演習結果をATT&CKマトリックスにマッピングすることで、組織がどの攻撃段階で検知・阻止できたか、どの段階に防御のギャップがあるかを可視化できます。

TLPT(脅威ベースペネトレーションテスト)

金融業界では、TLPT(Threat-Led Penetration Testing)として、脅威インテリジェンスに基づいた実践的な侵入テストが制度化されています。日本では金融庁が2024年に「TLPTに関する手引書」を公表し、大手金融機関を中心に導入が進んでいます。欧州ではTIBER-EUフレームワークが先行して整備されており、各国の金融当局がレッドチーム演習の枠組みを提供しています。

ソーシャルエンジニアリングの活用

レッドチーム演習ではソーシャルエンジニアリングが重要な攻撃ベクトルとなります。標的型フィッシングメール、電話によるなりすまし(ビッシング)、物理的な尾行(テールゲーティング)、USBデバイスの投棄など、人的脆弱性を突く手法を組み合わせます。技術的な防御が強固な組織でも、人的要素が最大の弱点となることが多く、演習を通じてセキュリティ意識向上の施策に繋げることが重要です。

🛡️

Security Measures

  • 01
    明確なROE(交戦規則)の策定:演習開始前に、攻撃対象の範囲、禁止事項、エスカレーション手順、緊急停止条件を文書化してください。本番システムへの影響を最小化しつつ、現実的な攻撃シナリオを実施するためのバランスが重要です。
  • 02
    脅威インテリジェンスに基づくシナリオ設計:自組織を標的とする可能性の高い脅威アクターの手法(TTPs)を分析し、現実的な攻撃シナリオを設計してください。MITRE ATT&CKフレームワークを活用して攻撃手法を体系化することが推奨されます。
  • 03
    パープルチーミングの実施:レッドチームとブルーチームが協力して攻撃手法と検知ルールを相互にフィードバックするパープルチーミングを定期的に実施してください。攻撃と防御の両面からセキュリティ態勢を継続的に改善できます。
  • 04
    演習結果の体系的な記録と改善:演習で発見されたセキュリティギャップを、ATT&CKマトリックスにマッピングして可視化し、優先度をつけて改善計画を策定してください。改善状況のトラッキングと再テストを含むPDCAサイクルを確立しましょう。
  • 05
    経営層への報告と予算確保:レッドチーム演習の結果をビジネスリスクの観点で経営層に報告し、セキュリティ投資の根拠として活用してください。具体的な攻撃シナリオと影響度を示すことで、経営判断を支援できます。
  • 06
    定期的な演習の実施とスキル向上:レッドチーム演習は年1回以上の定期実施が推奨されます。演習ごとに攻撃シナリオを変更し、新たな脅威に対応してください。社内チームのスキル向上のため、外部の専門ベンダーとの協業も効果的です。
⚠️

Incidents

📋 大手金融機関におけるTLPT演習での重大な発見(2023年)

2023年、国内大手金融機関が実施したTLPT演習において、レッドチームが標的型フィッシングメールから初期侵入に成功し、Active Directoryの権限昇格を経て、顧客データベースへの到達に成功しました。演習では、ブルーチームが初期侵入から48時間以上検知できなかったことが判明しました。

この結果を受け、同機関はEDR(Endpoint Detection and Response)の検知ルールを大幅に見直し、SOCの監視体制を24時間365日に強化しました。TLPT演習によって実際の攻撃に対する防御ギャップが明確化された好事例です。

📋 テクノロジー企業でのレッドチーム演習による物理セキュリティの問題発覚(2022年)

2022年、あるグローバルテクノロジー企業のレッドチーム演習において、攻撃チームがソーシャルエンジニアリングを用いてオフィスビルに物理的に侵入し、サーバールームへのアクセスに成功しました。入退室管理システムの不備と従業員のセキュリティ意識の低さが重なった結果でした。

物理侵入後、レッドチームは無施錠のネットワークポートからイントラネットに接続し、パッチ未適用のサーバーを経由して管理者権限を取得しました。この演習により、物理セキュリティとサイバーセキュリティの統合的な対策の必要性が経営層に認識されました。

📋 政府機関のレッドチーム演習における検知回避の成功事例(2024年)

2024年、ある政府機関が外部の専門ベンダーにレッドチーム演習を委託したところ、攻撃チームが正規のクラウドサービスを経由したC2(Command and Control)通信を構築し、既存のネットワーク監視ツールをすべて回避して3週間にわたり潜伏することに成功しました。

この演習では、正規のSaaSトラフィックに紛れた通信の検知が極めて困難であることが判明し、CASB(Cloud Access Security Broker)の導入やネットワークトラフィックの振る舞い分析強化が提言されました。高度な攻撃者に対する防御態勢の見直しにつながった重要な事例です。

🔗

Related Terms

ペネトレーションテスト スレットハンティング 攻撃対象面管理(ASM) 机上演習(テーブルトップ演習) SAST/DAST(静的・動的解析)