SOCを本気で運用するなら、定期的なパープルチーム演習を実施することが不可欠です。
前回の記事 — SOCはパラシュートだ — では、多くのセキュリティオペレーションセンター(SOC)が、いざという時に機能しないことについて書きました。SOCは過負荷で、受動的で、実際の侵害がどのように発生するかから切り離されていることが多いのです。
この議論をさらに進めたいと思います。SOCがパラシュートだとすれば、パープルチーム演習は、常に展開できるようにしておくための定期的な訓練であるべきです。しかし、ほとんどの組織はいまだにパープルチーム演習を一度きりのイベントとして扱い、継続的な取り組みとは考えていません。
パープルチーム演習の再考が必要
パープルチームは、レッドチームとブルーチームのギャップを埋めるために設計されました。理論上は、協力と継続的な改善が目的です。しかし実際には、ペネトレーションテスト会社が提供する、守りを突破できることを証明し、取締役会向けの見栄えの良いレポートを作成することに重点を置いた一時的なサービスになりがちです。
そのような考え方では、SOCの有効性は向上しません。一度だけのパープルチーム演習では、本当の能力は身につかず、偽りの自信を生むだけです。
本当の向上は、繰り返し、リハーサル、洗練によって得られます。 航空業界では、一度試験に合格しただけでは全く不十分です。熟練度は、定期的な訓練によって得られ、維持されます。同じ原則がここにも当てはまります。
SOCは常に新たな脅威、ツール、ミスとともに運用されているため、テストもそれに合わせて進化しなければなりません。そのためには、防御側とテスターが協力し、科学者のように実験を重ねてモデルを確立する成熟した協調的なアプローチが必要です。
対立から協調へ
パープルチーム演習は本来協力的であるべきですが、実際にはレッドチームとブルーチームのどちらが上手くやれるかという競争のように運営されることが多いです。しかし、そのやり方では本質を見失います。本当の成功の指標は、誰がどれだけ早く侵入できるかではなく、演習後に組織がどれだけ検知し、適応し、改善できるかです。
強力な向上プログラムは、競争ではなくパートナーシップを築きます。 チーム間で知識を共有し、「なぜこれがうまくいったのか?」と問い、「どうやって侵入したのか?」ではなく、正しい判断が本能的にできるまで繰り返します。
レポートではそれは実現できません。リハーサルこそが重要です。
シンプルさこそが最も難しい課題
前回の記事で、シンプルさを実現することが最も難しいが、うまくできれば最強の防御になると主張しました。
多くのSOCは、意味のない指標を追いかけています。15個の主要指標を持つチームが、経営陣の意向で業界の恣意的なベンチマークや監査、他社の数字に合わせるために50個に増やされるのを見たことがあります。報告書上は見栄えが良くても、実際のリスクとは無関係です。このような考え方はノイズを生むだけです。
本当の成熟は引き算です。 重要なシグナルを見極め、それに合わせて調整すること。分析者が行動に集中できるよう、余計なものを排除すること。例えば、不審なPowerShellコマンド、見慣れないrun DLL、意図を示す微妙な異常など。そこに早期警告のカギがあります。
多くのセキュリティリーダーは、焦点を絞ると脆弱になるのではと心配します。しかし実際は逆で、すべてを監視しようとすることこそが死角を生むのです。
フィッシングから学ぶ
フィッシング啓発にも同じ傾向があります。多くの組織は、コンプライアンススコアを良く見せるために、シミュレーションの難易度を密かに下げています。しかし、それは本当の進歩ではありません。
人間のミスを訓練で完全に防ぐことはできません。より良いアプローチは、何をではなくなぜを教えることです。なぜ違和感を覚えるのか、その背景が個人の安全に結びつくと理解できれば、記憶にも残りやすくなります。
SOCにも同じ原則が当てはまります。アナリストには、検知するだけでなく、理解する力も養いましょう。攻撃の構造、主要な兆候、重要な行動パターンを学ばせるのです。
SOCは本来、学習システムであるべきです。
SOCが危機に陥る理由とその解決策について書いた記事の中で、テストと運用の統合、コンテキストを考慮した検知の構築、明確な対応権限の確立の必要性について述べました。
最近見た中で最も効果的なSOCのいくつかは、自分たちの役割をツールセットや外部委託サービスではなく、プロジェクトとして扱っています。イテレーションや調整を推進するためにプロジェクトマネージャーを組み込んでいるところもあります。
また、従来のピラミッド型の階層を打破しています。「SOC責任者」一人に全権を持たせるのではなく、現場を最もよく知るチームに意思決定を委譲しています。その方が速く、公平で、新人アナリストの育成にも適しています。
さらに重要なのは、防御的な姿勢から探究的な姿勢に転換していることです。攻撃がどのように発生し、どのように横展開し、どんな痕跡を残すかを常にモデル化し、それらの仮定を何度もテストしています。
単なる演習ではなく、継続的な向上を
パープルチーム演習やSOCの向上を、単なるチェックリストの項目として扱ってはいけません。侵害はもはや日常茶飯事です。重要なのは、システムと人が対応できる準備ができているかどうかです。
終わりのないテストが答えではありません。継続的な学習こそが答えです。小規模で焦点を絞ったシミュレーションを実施し、観察し、調整し、シンプルさ・スピード・直感が自然に身につくまで練習を重ねること。私たちのクライアントとの取り組みでも、パープルチーム演習がSOCの有効性を高めることが何度も証明されています。
防御の複雑さで成功を測るのではなく、プレッシャー下でどれだけ洗練された動きができるかで測るべきです。
これがパープルチーム演習の枠を超える方法であり、SOCを静的なサービスから生きた能力へと変える道です。
