Varonis Threat Labsが独自のEntra IDトレーニング体験「Breach at the Beach」をどのように作り上げたかをご紹介します。このCTF(Capture The Flag)を通じて、実践的な学習でサイバーセキュリティのスキルを高めることができます。
サイバーセキュリティは海によく似ています。表面は穏やかに見えても、水面下には未知の何かが潜んでいる可能性があるのです。
Varonis Threat Labsの研究者であるDoron Kapah氏とMark Vaitsman氏は、この現実を身をもって知っています。彼らの日常業務の大半は、クラウドネイティブ環境において脅威がどのように機密データを流出させるかを研究することです。
AIがID管理のあり方と組織への攻撃手法の両方を進化させてきたことを踏まえ、両氏はセキュリティ担当者がEntra IDにおけるデータ流出の実態を最前線の目線で体験できるトレーニングを作りたいと考えました。そうして生まれたのがBreach at the Beachです。
Varonisの脅威検知担当キャラクターである猫の「Pixel」がビーチで休暇を過ごしていたところ、Entra IDで侵害が発生したことを知り、捜査モードに切り替わります。プレイヤーはPixelを通じて攻撃者の足跡をたどり、攻撃者が狙っている機密データを突き止め、手遅れになる前に食い止めることを目指します。
この続きでは、Breach at the Beachの着想となった実際の事例や、AIが脅威検知をどのように進化させ実践的な教育の必要性を高めたのか、そしてBreach at the Beachを修了することでCPEクレジットを獲得する方法についてご紹介します。
なぜEntra IDなのか
Entra IDは単なるID管理プロバイダーではなく、企業全体のコントロールプレーンとしての役割を担っています。ユーザー、アプリケーション、権限、自動化処理、そして近年ますます増えているAI駆動のワークフローをつなぐ存在です。AIエージェントやサービスプリンシパル、自動化されたワークフローといった非人間アイデンティティの台頭により、Entra IDにおける侵害の様相は大きく変わりました。
「今日のAI時代では、多くのアイデンティティが非人間アイデンティティです。もしEntraで侵害が発生すれば、脅威アクターは自らを非人間アイデンティティへとピボットさせることができ、それは瞬く間に隠密かつスケーラブルなデータ流出の試みへと発展しかねません」と、Varonisのセキュリティ研究チームリーダーであるMark Vaitsman氏は語ります。
Breach at the Beach全体に織り込まれた手法は、決して架空のものではありません。DoronとMarkの両氏が実際の顧客環境で直に遭遇してきた事例を反映しており、それぞれの課題は今日の防御側が直面している現実に根ざした学びとなっています。
「非人間アイデンティティは人間のアイデンティティを急速に上回りつつあり、結果として攻撃対象領域が拡大しています。脅威アクターはアクセス権を獲得・拡大しやすくなる一方で、監視や検知には大きな課題が生まれています」とDoron氏は述べています。
Doron氏はさらに、AIを迅速に導入しようとする圧力と、そのAIに追いついていないセキュリティインフラとの間で組織が板挟みになっている点を指摘し、これが防御アプローチを根本から複雑にしていると述べています。
CTFという形式を通じた知識の共有
今日の防御担当者にはEntra IDにおける現代の攻撃手法への理解が不可欠であることを踏まえ、DoronとMarkの両氏は、現代の攻撃がどのようなものかを実践的に体験できる機会を防御担当者に提供したいと考えました。
Breach at the Beachでは、プレイヤーに次のようなことを学べるよう設計しています。
- 脅威が設定ミスではなく機能そのものを悪用する仕組み:プレイヤーは何か壊れている箇所を探すわけではありません。正規の機能が武器として利用される瞬間を見極める力を養います。
- AIに頼らない脅威検知の方法:DoronとMarkの両氏は、LLMがこのCTFの課題を解けてしまわないよう意図的に設計しました。これは1、2年前の研究者たちがあまり意識していなかった観点です。AIによる支援を排除することで、プレイヤーは競争のために手っ取り早く答えを得るのではなく、体験に組み込まれた学びをしっかりと吸収できます。
- ノイズの排除方法:生のEntraログを読み解く作業は、多くの防御担当者にとって日常的な現実です。データが刻々と変化する複雑な環境を作ることで、プレイヤー自身が状況を整理する力を試されます。
個別の学びに加え、Mark氏は実践的な学習が防御担当者に現実さながらの経験を与えることも身をもって理解しています。
「キーボードを実際に叩き、あちこちクリックして、どう動くかを見なければ何も理解できません。読むだけでは不十分です」とVaitsman氏は述べています。
Mark氏はまた、CTF体験が概念として理解するだけでなく、その影響を肌で感じさせてくれる点についても語りました。
「CTFをプレイしていると、これはまさに自分の会社なのだという感覚を覚えます。攻撃の流れやその中の手法を理解していなければ、単にチャレンジに負けるだけでは済まない喪失感を味わうことになります」とVaitsman氏は説明しています。
あらゆるサイバーセキュリティ専門職のために設計
Entra IDとAIに関する新たな知識を盛り込むことは、MarkとDoronの両氏にとって当然の前提でした。同時に、レッドチーム、ブルーチーム、CISO、脅威インテリジェンス担当者など、あらゆるセキュリティ職種にとって役立つ体験にすることも重視していました。
「ブルーチーム側に精通していなければ優れた、あるいは完璧なレッドチーマーにはなれませんし、攻撃者側の視点に精通していなければ、おそらく優れたCISOにもなれないでしょう」とVaitsman氏は続けます。
Doron氏はまた、AIや監査における可視性のギャップという観点は、すべてのセキュリティ担当者が日常業務で触れるものではないと強調しています。これをCTFに組み込むことで、各自が見落としている可能性のあるギャップを浮き彫りにできるといいます。
「DataverseやCopilotといったシステムの監査ログや、こうしたAIシステムを支える基本的な仕組みに、すべてのセキュリティ専門職が触れているわけではありません。このCTFは、AIエージェントを扱う際に防御アプローチを構築することがいかに難しいかを体感する機会を与えてくれます」と、Varonisのセキュリティ研究者であるDoron Kapah氏は説明しています。
「また、健全なIDハイジーンとはどのようなものか、そして自身の環境で最小権限をどう実装すべきかを理解する助けにもなります」とKapah氏は付け加えています。
Breach at the Beachの開発初期、チームはRSAC 2026のCloud Villageにこれを持ち込みました。プレイヤーから寄せられたフィードバックでは、単なる作業のようには感じられず、創造的なチャレンジとして最後まで楽しませ、刺激を与えてくれたという声が目立ちました。
「難しいけれど非常に勉強になる、というフィードバックをいただきました。ブースにいた経験豊富なCTFスタッフでさえ、新たな発見があったと話してくれました」とKapah氏は述べています。
今すぐBreach at the Beachをプレイ
レッドチームでもブルーチームでも、あるいはCPEクレジットの取得が必要な方でも、これは実践を通じて学ぶ絶好の機会です。
Breach at the Beachは無料でオンラインからプレイできます:https://breachatthebeach.com
CTFの各ステージをクリアすると、プレイヤーには1CPEクレジットとテーマに沿ったバッジが授与されます。全4ステージをすべて完了すると、LinkedInで共有できる修了証が発行されます。CPEクレジットの取得を希望する場合は、有効なメールアドレスを使用してください。
DoronとMarkの両氏は、Black Hat USAとDEF CON 34に出席するためラスベガスにも向かい、現地でこのCTFがどのように作られたかを詳しく解説するとともに、プレイヤーの演習を直接サポートする予定です。両イベントの詳細は以下の通りです。
Black Hat USA 2026でプレイ:
- 2026年8月3日〜6日
- Varonisブース(#2948)にて開催
- オンラインプレイヤーおよびBlack Hat参加者のうち、8月6日までにCTFを完了した方は、Marriott Hotelsの2,000米ドル分ギフトカードの抽選に応募されます
- 詳細はBlack HatにおけるVaronisのページをご覧ください
DEF CON 34のCloud Villageでプレイ
- 2026年8月6日〜9日
- ラスベガス・コンベンションセンター
- 詳細はCloud Villageのページをご覧ください
- 参加者はCloud VillageのCapture the Flagチャレンジで他の参加者と競い合うことができ、上位入賞者には各種賞品が用意されています
- DEF CONでのプレイ登録はイベント開催前に開始予定です
Breach at the Beachはどこからでもオンラインでプレイ可能です!
翻訳元: https://www.bleepingcomputer.com/news/security/breach-at-the-beach-play-the-ultimate-entra-id-ctf/