ブルーチームを年に一度しか稼働させないなんてあり得ませんよね。なのに、攻撃側の対応をその程度の頻度で済ませていませんか?
サイバーセキュリティチームには、積極的に行動し、攻撃者より先にネットワークの弱点を見つけることが強く求められています。しかし多くの組織では、攻撃的セキュリティは未だに一度きりのイベントとして扱われています。年に一度のペンテスト、四半期ごとのレッドチーム演習、あるいはコンプライアンス期限前の監査スプリントなどです。
これは防御ではありません。単なるパフォーマンスです。
現実の世界では、攻撃者は断続的に活動するわけではありません。 彼らの偵察は継続的で、ツールや戦術は常に進化し、新たな脆弱性はパッチ公開から数時間で実用的なエクスプロイトに逆コンパイルされることも珍しくありません。
ですから、もし攻撃的な検証が同じくらい動的でなければ、単に遅れているだけでなく、危険にさらされています。
年に一度のペンテストから脱却する時です。
攻撃的セキュリティオペレーションセンターを構築する時です。
なぜ年に一度のペンテストでは不十分なのか#
時点的なペネトレーションテストにも役割はあり、コンプライアンス要件として今後も必要とされるでしょう。しかし、環境の変化が評価のスピードを上回る現場では不十分です。その理由はいくつかあります:
- スコープが限定的。 多くの企業ペンテストは業務への影響を避けるために範囲が限定されますが、攻撃者はあなたのスコープなど気にしませんし、ステルスモードでなければ業務を妨害することも厭いません。
- コントロールが静かに劣化する。 ドリフトは常に発生します。EDRポリシーが緩和されたり、SIEMルールが壊れたり。年に一度のペンテストではこうした問題を捉えきれません。テストで「合格」したセキュリティコントロールも、2週間後の本番では失敗するかもしれません。
- 権限が静かにエスカレートする。 Active Directory環境では、設定ミスが時間とともに蓄積し、ネストグループ、古いアカウント、過剰な権限のサービスID、よく知られた権限昇格パスが当たり前のように存在します。これらは理論上のリスクではなく、何十年も前から実際に悪用されてきました。攻撃者はゼロデイを必要とせず、弱い信頼関係、設定ドリフト、可視性の欠如を利用します。
- タイミングの遅れ。 ペンテストレポートが届く頃には、環境はすでに変わっています。あなたが追いかけているのは過去であり、今ではありません。まるで今日の様子を知るために先月のドアカメラ映像を見るようなものです。
ただし、これはペンテスト廃止の呼びかけではありません。
むしろ逆で、手動のペンテストは人間の創造性、状況認識、攻撃者視点の思考をもたらし、自動化では再現できません。
しかし、それだけに頼り、しかも年に1~2回しか実施しないのでは、その効果は限定的です。
攻撃的SOCを構築し、継続的な検証を運用化することで、ペンテスターは本来の強み――エッジケースの発見、創造的な防御突破、自動化では難しい複雑なシナリオの探求――に集中できるようになります。
要するに:攻撃的SOCはペンテストを置き換えるものではなく、その進化を促すものです。
継続的な検証がなければ、セキュリティ体制は「真実」ではなく、ただのスナップショットに過ぎません。
時点的な防御から持続的な攻撃へ#
攻撃的セキュリティオペレーションセンター(攻撃的SOC)は、従来の防御的SOCの一部としての一度きりのペンテストから、攻撃者のように毎日考え、行動し、常に先手を打つチームへとモデルを転換します。問題が発生するのを待つのではなく、攻撃的SOCは協調的で透明性が高く、実際のリスクを明らかにし、リアルタイムで具体的な修正を促進します。
こう考えてください:従来のSOCは到達した攻撃にアラートを上げますが、攻撃的SOCは到達しうる脆弱性にアラートを上げます。
そして、それを支えるツールは?時代遅れのチェックリストやクリップボードは捨てて、侵害・攻撃シミュレーション(BAS)や自動ペネトレーションテストソリューションを活用しましょう。
攻撃的SOCの4つの柱#
1. 露出しているものを継続的に発見
見つけていないものは検証できません。組織の攻撃対象領域は、クラウドワークロード、管理されていない資産、シャドーIT、古いDNSレコード、公開S3バケットなどで溢れています。定期的なスキャンだけではもはや十分ではないことを認める時です。
発見は攻撃者と同じく、持続的かつ継続的でなければなりません。
2. BASによる実世界の攻撃シミュレーション
侵害・攻撃シミュレーション(BAS)は推測ではなく、MITRE ATT&CK®のような業界標準フレームワークにマッピングされた実際のTTPをキルチェーン全体でシミュレートします。
BASは、実用的かつ重要な次のような問いに答えます:
- SIEMは認証情報ダンピング攻撃を検知できますか?
- EDRは既知のランサムウェアをブロックできますか?
- WAFはCitrix BleedやIngressNightmareのような重大なWeb攻撃を防げますか?
BASは、本番環境に配慮した安全なテストで、攻撃者が実際に使う手法を、データや収益、評判を危険にさらすことなく、あなたのコントロールに対して実行します。BASは何が機能し、何が失敗し、どこに注力すべきかを明確に示します。
3. 自動ペンテストによるエクスプロイトチェーン検証
個々の脆弱性は単独では無害な場合もあります。しかし、攻撃者は複数の脆弱性や設定ミスを巧妙に組み合わせて目的を達成します。自動ペネトレーションテストを使えば、セキュリティチームは実際の侵害がどのように段階的に進行するかをエンドツーエンドで検証できます。
自動ペンテストは、ドメイン参加済みシステムからの侵害を想定し、低権限またはシステムレベルユーザーのアクセスから開始します。この足がかりから、認証情報窃取、ラテラルムーブメント、権限昇格などの実際の手法を組み合わせ、ドメイン管理者権限など重要資産への最短かつステルスな攻撃経路を発見・検証します。
例:
- 人事部のワークステーションへの初期アクセスが、サービスアカウント権限の設定ミスによりKerberoastingの機会を生み出す。
- オフラインでのパスワードクラッキングで平文認証情報が判明。
- その認証情報で別のマシンへラテラルムーブメント。
- 最終的に、ドメイン管理者のNTLMハッシュを取得し、アラートもコントロールも発動しなかった。
これは数千あるシナリオの一例に過ぎませんが、攻撃者があなたのネットワーク内で権限をエスカレートする現実の戦術を反映しています。
4. ドリフト検知と体制トラッキング
セキュリティは静的ではありません。ルールは変わり、設定は変化し、コントロールは静かに失敗します。
攻撃的SOCは経時的にスコアを記録します。例えば:
- EDRポリシーの更新で既知マルウェアシグネチャが無効化された
- SIEMアラートがルール変更後に静かに発報しなくなった
- メンテナンス中にファイアウォールルールが変更され、ポートが露出した
攻撃的SOCは「何が失敗したか」だけでなく、「いつ失敗し始めたか」も教えてくれます。
こうして先手を打つのです。アラートに反応するのではなく、脆弱性が悪用される前に発見することで。
Picusの役割#
Picusは、攻撃的SOCの運用化を支援し、予防・検知・対応レイヤー全体で露出を継続的に検証する統合プラットフォームを提供します。
私たちは以下を組み合わせています:
- BASによる実世界脅威へのコントロールの反応テスト
- 自動ペンテストによる侵害後の攻撃者の動きのシミュレーションと高リスク経路の特定
- 既知の脅威・対策ライブラリによる攻撃シミュレーションとギャップの迅速な解消
- 既存SOCスタックとのシームレスな統合
そしてPicusは単なる約束ではありません。Blue Report 2024では、
- Picusを利用した組織は重大な脆弱性を50%以上削減
- 顧客は90日で予防効果を2倍に
- チームはPicus利用でセキュリティギャップの解消が81%高速化
Picusなら、推測に頼らず、検証に裏付けられた意思決定が可能です。
これが攻撃的SOCの価値――集中的で効率的、かつ継続的なセキュリティ改善です。
最後に:検証はレポートではなく「実践」です#
攻撃的SOCの構築は、ダッシュボードやソリューション、ノイズを増やすことではありません。リアクティブなセキュリティオペレーションセンターを継続的な検証エンジンに変えることです。
それは、何が悪用可能で、何が守られていて、何に注意が必要かを証明することを意味します。
Picusは、スタック全体で検証の運用化を支援します。
詳細を知りたいですか?
セキュリティと露出検証のためのCISOガイドをダウンロードして:
- 侵害・攻撃シミュレーションと自動ペンテストの補完的な役割を理解
- 重大度だけでなく、実際の悪用可能性に基づいてリスクに優先順位をつける方法を学ぶ
- 攻撃者視点の露出検証をCTEM戦略に組み込み、継続的かつ測定可能な改善を実現する方法を見る
🔗 露出検証ガイドを入手し、検証を年に一度のチェックリストではなく、日々のSOC運用の一部にしましょう。
翻訳元: https://thehackernews.com/2025/07/pentests-once-year-nope-its-time-to.html