侵入と攻撃のシミュレーション

侵入・攻撃シミュレーション（BAS）とは、組織が模擬サイバー攻撃に対するセキュリティ防御をテストできる技術を指します。BASソリューションは、組織のセキュリティ体制における弱点やギャップを特定するのに役立つ自動評価を提供します。^{[ 1 ]}

BASツールは、組織のITインフラストラクチャと資産に対して模擬攻撃を実行することで機能します。これらの模擬攻撃は、サイバー犯罪者が実際に使用する脅威と手法を模倣するように設計されています。このシミュレーションは、組織の攻撃の検知、分析、および対応能力をテストします。シミュレーション実行後、BASプラットフォームは、セキュリティ対策が模擬攻撃を阻止できなかった領域をハイライトするレポートを生成します。^{[ 1 ]}

組織はBASを用いて、セキュリティ対策が意図したとおりに機能しているかどうかを検証します。頻繁なBASテストは、セキュリティ態勢の長期的なベンチマーク評価に役立ち、適切なインシデント対応プロセスが確立されていることを確認します。BASテストは、侵入テストや脆弱性スキャンなどの他のセキュリティ評価を補完するものです。BASは、欠陥の発見だけでなく、セキュリティ対策の検証に重点を置いています。BASは自動化されているため、手作業によるレッドチーム演習よりも広範囲かつ定期的なテストが可能です。BASは、継続的な脅威露出管理（CTEM）プログラムの一部であることが多いです。^{[ 1 ] [ 2 ]}

BAS市場は、静的で事前定義されたプレイブックよりも、現実世界の攻撃エミュレーションを優先する自動セキュリティ検証プラットフォームへと進化してきました。Penteraが提供するような最新の実装では、エージェントレスアプローチを用いて、内部および外部の両方のサーフェスにわたる完全な攻撃キルチェーンをシミュレートします。^{[ 3 ]}これらのプラットフォームは、ITインフラストラクチャのリアルタイムの状態に基づいて潜在的な攻撃経路を動的に計算することにより、「未知の未知」を特定することに重点を置いています。この変化は、脆弱性中心のモデルから、複雑な環境における動的な脅威に対処するために設計された「エクスポージャー中心」の戦略への移行を表しています。^{[ 4 ] [ 5 ]}

BAS技術の主な特徴は以下の通りである。^{[ 1 ]}

• 自動テスト: シミュレーションは、手動による監視なしで繰り返し実行されるようにスケジュールできます。
• 脅威モデリング: シミュレーションは、実際の敵対的な戦術、技術、手順に基づいて設計されます。
• 攻撃対象領域の範囲: 内部および外部に公開されている資産をテストできます。
• セキュリティ制御の検証: 他のセキュリティ ツールと統合して有効性をテストします。
• レポート: 脆弱性を特定し、修復作業の優先順位を決定します。

主要な侵入攻撃シミュレーションの使用例は次のとおりです。

頻繁なBASテストは、ファイアウォールやエンドポイント検出などのセキュリティ制御が適切に設定され、実際の脅威を検知できるようにするために役立ちます。ネットワークやシステムの継続的な変更により、設定ミスやセキュリティギャップが生じる可能性がありますが、BAS演習によってそれらが明らかになることがあります。多くのソリューションでは、導入または購入した様々なソフトウェアツールを比較し、どれがより効果的かを評価する機能が提供されています。^{[ 6 ]}定期的なシミュレーションは、セキュリティ担当者のトレーニングにもつながり、インシデント対応能力の向上にもつながります。^{[ 7 ]}

反復型BASは、検出と対応時間の最適化に役立ちます。監視ツールのチューニングとプロセスの改良においてチームを支援します。また、脆弱性パッチの適用は、CVSSの深刻度だけでなく、観測された悪用可能性に基づいてより適切に優先順位付けできます。^{[ 7 ]}

BASは、実際の脅威に対する防御体制を整えるため、攻撃手法をフルにエミュレートします。MITRE ATT&CKなどのフレームワークにシミュレーションをマッピングすることで、既知の敵対者の行動に対する準備状況を検証します。レッドチーム演習ほど詳細ではありませんが、BASはレジリエンス（回復力）を迅速にベンチマークします。^{[ 7 ]}

• レッドチーム
• 侵入テスト